Sie haben Ihre Computer mit starker Festplattenverschlüsselung und Sicherheitssoftware gesichert. Das ist gut – so lange Sie das Gerät im Auge behalten. Sobald jedoch ein Angreifer direkten Zugriff auf Ihren Computer erhält, sind alle Sicherheitsvorkehrungen hinfällig. Lernen Sie den sogenannten „Evil Maid“-Angriff kennen.
Was versteht man unter einem „Evil Maid“-Angriff?
In der Welt der Cybersicherheit gilt eine oft wiederholte Regel: Sobald ein Angreifer physischen Zugriff auf Ihr Gerät hat, sind Sie in einer schwierigen Situation. Der „Evil Maid“-Angriff ist ein praktisches Beispiel dafür, wie ein Angreifer ein unbeaufsichtigtes Gerät kompromittieren kann. Stellen Sie sich ein „böses Zimmermädchen“ als eine Art Spionin vor.
Häufig lassen Personen, die beruflich oder privat unterwegs sind, ihre Laptops in Hotelzimmern zurück. Was wäre nun, wenn im Hotel ein „böses Zimmermädchen“ arbeitet – eine Reinigungskraft (oder jemand, der sich als solche ausgibt), die ihre Position nutzt, um während der Zimmerreinigung physischen Zugriff auf das Gerät zu erlangen, um es zu manipulieren und zu kompromittieren?
Für den Durchschnittsbürger ist dies wohl kaum ein Problem. Für hochrangige Zielpersonen wie Regierungsmitarbeiter auf internationalen Reisen oder Führungskräfte, die sich vor Industriespionage fürchten, ist es jedoch eine ernstzunehmende Bedrohung.
Nicht nur „böse Zimmermädchen“ sind das Problem
Der Begriff „Evil Maid“-Angriff wurde erstmals im Jahr 2009 von der Computersicherheitsforscherin Joanna Rutkowska verwendet. Das Konzept eines „bösen“ Zimmermädchens mit Zugang zu einem Hotelzimmer dient dabei als anschauliches Beispiel. Ein „Evil Maid“-Angriff kann jedoch jede Situation betreffen, in der Ihr Gerät sich außerhalb Ihrer Sichtweite befindet und ein Angreifer physischen Zugriff darauf hat. Einige Beispiele:
- Sie bestellen ein Gerät online. Während des Transports öffnet jemand, der Zugriff auf das Paket hat, die Verpackung und manipuliert das Gerät.
- Grenzbeamte an einer internationalen Grenze nehmen Ihren Laptop, Ihr Smartphone oder Tablet mit in einen separaten Raum und geben es Ihnen erst später zurück.
- Ermittlungsbeamte bringen Ihr Gerät in einen anderen Raum und geben es Ihnen später wieder zurück.
- Sie sind eine leitende Führungskraft und lassen Ihren Laptop oder ein anderes Gerät in einem Büro liegen, auf das auch andere Personen Zugriff haben könnten.
- Bei einer Konferenz über Computersicherheit lassen Sie Ihren Laptop unbeaufsichtigt in einem Hotelzimmer.
Es gibt unzählige Szenarien, aber die Kernbotschaft bleibt immer dieselbe: Sie haben Ihr Gerät unbeaufsichtigt gelassen – außerhalb Ihrer Sichtweite – wo andere Personen darauf zugreifen konnten.
Wer muss sich wirklich Gedanken machen?
Seien wir ehrlich: „Evil Maid“-Angriffe sind nicht vergleichbar mit vielen anderen Problemen im Bereich der Computersicherheit. Sie sind kein Problem für den durchschnittlichen Nutzer.
Ransomware und andere Schadsoftware verbreiten sich wie ein Lauffeuer über Netzwerke von einem Gerät zum anderen. Ein „Evil Maid“-Angriff hingegen erfordert eine reale Person, die sich bewusst bemüht, Ihr Gerät persönlich zu kompromittieren. Das ist Spionage.
Konkret stellen „Evil Maid“-Angriffe ein Problem dar für international reisende Politiker, hochrangige Führungskräfte, Milliardäre, Journalisten und andere wertvolle Zielpersonen.
Ein Beispiel: Im Jahr 2008 haben chinesische Beamte möglicherweise heimlich auf den Inhalt eines Laptops eines US-Beamten zugegriffen während Handelsgesprächen in Peking. Der Beamte hatte seinen Laptop unbeaufsichtigt gelassen. Wie die Associated Press 2008 berichtete, sagten „einige ehemalige Handelsbeamte gegenüber der AP, sie seien sehr darauf bedacht, elektronische Geräte bei Reisen nach China immer bei sich zu tragen“.
Theoretisch sind „Evil Maid“-Angriffe eine nützliche Möglichkeit, eine völlig neue Klasse von Angriffen zu betrachten und zusammenzufassen, gegen die Sicherheitsexperten sich verteidigen müssen.
Mit anderen Worten: Sie müssen sich wahrscheinlich keine großen Sorgen machen, dass jemand Ihre Computergeräte durch einen gezielten Angriff kompromittiert, wenn Sie sie kurzzeitig aus den Augen lassen. Jemand wie Jeff Bezos hingegen muss sich definitiv Gedanken machen.
Wie funktioniert ein „Evil Maid“-Angriff?
Ein „Evil Maid“-Angriff zielt darauf ab, ein Gerät unauffällig zu verändern. Bei der Einführung des Begriffs demonstrierte Rutkowska einen Angriff, bei dem die TrueCrypt-Festplattenverschlüsselung kompromittiert wurde.
Sie entwickelte eine Software, die auf einem bootfähigen USB-Stick gespeichert werden konnte. Ein Angreifer muss den USB-Stick lediglich in einen ausgeschalteten Computer einstecken, diesen einschalten, vom USB-Stick booten und etwa eine Minute warten. Die Software würde die TrueCrypt-Software starten und manipulieren, um das Festplattenpasswort aufzuzeichnen.
Das Opfer würde dann in sein Hotelzimmer zurückkehren, den Laptop einschalten und sein Passwort eingeben. Das „böse Zimmermädchen“ könnte nun zurückkommen und den Laptop stehlen – die kompromittierte Software hätte das Entschlüsselungspasswort der Festplatte gespeichert, sodass das „böse Zimmermädchen“ auf den Inhalt des Laptops zugreifen kann.
Dieses Beispiel, das die Veränderung der Software eines Geräts demonstriert, ist nur eine Methode. Ein „Evil Maid“-Angriff könnte auch darin bestehen, einen Laptop, Desktop oder ein Smartphone physisch zu öffnen, die interne Hardware zu verändern und das Gerät dann wieder zusammenzubauen.
„Evil Maid“-Angriffe müssen nicht einmal so kompliziert sein. Nehmen wir an, eine Reinigungskraft (oder jemand, der sich als solche ausgibt) hat Zugang zum Büro eines CEOs eines Fortune-500-Unternehmens. Wenn der CEO einen Desktop-Computer verwendet, könnte die „böse“ Reinigungskraft einen Hardware-Keylogger zwischen Tastatur und Computer installieren. Dann könnten sie nach ein paar Tagen zurückkehren, den Hardware-Keylogger entfernen und alle Eingaben des CEO sehen, die der Keylogger während seiner Installation aufgezeichnet hat.
Das Gerät selbst muss nicht einmal manipuliert werden: Angenommen, ein CEO verwendet ein bestimmtes Laptop-Modell und lässt diesen Laptop in einem Hotelzimmer zurück. Ein „böses Zimmermädchen“ betritt das Hotelzimmer, tauscht den Laptop des CEO gegen einen optisch identischen Laptop mit kompromittierter Software aus und geht wieder. Sobald der CEO den Laptop startet und sein Verschlüsselungspasswort eingibt, übermittelt die kompromittierte Software das Passwort an das „böse Zimmermädchen“.
Was wir daraus über Computersicherheit lernen
Ein „Evil Maid“-Angriff verdeutlicht, wie gefährlich physischer Zugriff auf Ihre Geräte ist. Wenn ein Angreifer unbeaufsichtigten physischen Zugriff auf ein Gerät hat, das Sie unbeaufsichtigt lassen, können Sie sich kaum schützen.
Im ersten Fall eines „Evil Maid“-Angriffs zeigte Rutkowska, dass selbst jemand, der die grundlegenden Sicherheitsvorkehrungen beachtet, die Festplattenverschlüsselung aktiviert und sein Gerät beim Verlassen ausschaltet, angreifbar ist.
Mit anderen Worten: Sobald ein Angreifer physischen Zugriff auf Ihr Gerät hat, ohne dass Sie es sehen können, ist die Sicherheit gefährdet.
Wie kann man sich vor „Evil Maid“-Angriffen schützen?
Wie bereits erwähnt, müssen sich die meisten Menschen um diese Art von Angriffen keine großen Sorgen machen.
Die wirksamste Maßnahme, um sich vor „Evil Maid“-Angriffen zu schützen, ist, das Gerät zu überwachen und sicherzustellen, dass niemand physischen Zugriff darauf hat. Wenn die Staats- und Regierungschefs der mächtigsten Länder der Welt reisen, können Sie davon ausgehen, dass sie ihre Laptops und Smartphones nicht unbeaufsichtigt in Hotelzimmern liegen lassen, wo sie vom Geheimdienst eines anderen Landes kompromittiert werden könnten.
Ein Gerät könnte auch in einem verschlossenen Tresor oder einem anderen sicheren Behälter aufbewahrt werden, um sicherzustellen, dass ein Angreifer nicht auf das Gerät selbst zugreifen kann – auch wenn jemand möglicherweise das Schloss knacken könnte. Viele Hotelzimmer sind zwar mit eingebauten Safes ausgestattet, Hotelangestellte haben in der Regel aber Generalschlüssel.
Moderne Geräte werden immer widerstandsfähiger gegen einige Arten von „Evil Maid“-Angriffen. Secure Boot sorgt beispielsweise dafür, dass Geräte normalerweise keine nicht vertrauenswürdigen USB-Laufwerke starten. Es ist jedoch unmöglich, sich vollständig gegen jede Art von „Evil Maid“-Angriff zu schützen.
Ein entschlossener Angreifer, der physischen Zugriff hat, wird immer einen Weg finden.
Wenn wir über Computersicherheit schreiben, finden wir es immer hilfreich, auf einen klassischen xkcd-Comic über Sicherheit zu verweisen.
Ein „Evil Maid“-Angriff ist eine ausgeklügelte Art von Angriff, mit der der Durchschnittsbürger wahrscheinlich nicht in Berührung kommt. Wenn Sie nicht gerade eine hochwertige Zielperson sind, die wahrscheinlich das Ziel von Geheimdiensten oder Industriespionage ist, gibt es viele andere digitale Bedrohungen, über die Sie sich Sorgen machen sollten, darunter Ransomware und andere automatisierte Angriffe.