Курс по анонимности и безопасности в сети
Предыдущая глава Следующая глава

Глава 146

Атака через порт FireWire

Есть в IT некоторые проблемы, отсутствие которых достаточно один раз проверить, успокоиться и забыть. Однако если этого не сделать, можно в определенный момент очень сильно пожалеть. Порт FireWire – это как раз тот самый случай.

Надеюсь, вы включили шифрование на уровне системы; о последствиях отсутствия подобного шифрования я рассказывал здесь. Давайте очень упрощенно рассмотрим, как работает полнодисковое шифрование на вашем устройстве.

У вас есть ключ шифрования, который шифрует и расшифровывает всю информацию. Когда компьютер работает, даже если система заблокирована или находится в гибридном спящем режиме, этот ключ находится в оперативной памяти устройства. 

Подключившись к порту FireWire, этот ключ можно получить прямо из оперативной памяти. Это может сделать ваш собеседник, когда в кафе вы временно отлучились в уборную, или криминалист-эксперт при визите незваных гостей. Кто бы это ни был, он получит информацию из вашей оперативной памяти, и это очень плохо. Атака не займет много времени, а последствия будут весьма печальные.

Кроме этого, подключение по порту FireWire позволяет обойти пароль к системе. Это возможно благодаря перезаписи области оперативной памяти, содержащей данные контроля за доступом.

У этой атаки есть ряд нюансов, например, от прямого доступа к оперативной памяти может защищать антивирус, а сам протокол позволяет получить доступ только к первым 4 GB памяти. Но даже несмотря на них, порт FireWire – это возможность прямого доступа к ценным данным. В свое время наличие подобного порта считалось настоящим подарком эксперту в области форензики.

Атаки DMA (получение прямого доступа к оперативной памяти) – очень опасный класс физических атак. О них мы будем много говорить, проверять наличие уязвимостей, настраивать защиту. В рамках данной главы наша задача – проверить, нет ли на вашем компьютере порта FireWire, и если есть, стоит поработать кусачками или сменить устройство.

Что такое порт FireWire

Правильное название – IEEE 1394 (FireWire, i.LINK, mLAN – коммерческие названия), это технология обмена цифровой информацией. Технология FireWire разрабатывалась Apple в 1992‒1995-м годах, в 1998-м началась популяризация FireWire. После 2010 года популярность резко пошла на спад, и сегодня в новых компьютерах FireWire устанавливается крайне редко. Согласно Википедии, основная причина спада – желание Apple получать вознаграждение за каждую установленную шину.

FireWire позволял обмениваться информацией с впечатляющей скоростью и использовался в основном для передачи больших данных, например видео с видеокамер. Сегодня FireWire вы не найдете даже в Mac Pro, однако в домашних компьютерах периодически можно обнаружить порт FireWire, и это создает угрозу несанкционированного доступа к ценным данным.

Внешний вид и обозначение порта FireWire

 порт FireWire

Как проверить наличие порта FireWire

Можно просто посмотреть – картинка и обозначение порта FireWire приведены выше. При наличии сомнений предлагаю вам программный способ проверки, и тут вам поможет Panic Button, думаю, вы уже знакомы с ней. В бесплатную часть программы я добавил сканер безопасности системы, который проверяет некоторые важные моменты, в том числе и наличие порта FireWire.

Установите Panic Button, на этапе активации выберите пробную лицензию. При первичной настройке программа предложит вам чекер безопасности, который проверит в том числе и наличие порта FireWire.

Panic Button

Если у вас уже установлена Panic Button, в меню выберите пункт «Сканер безопасности системы».

Panic Button меню

Как деактивировать порт FireWire

Если вы с техникой на «вы», обратитесь к любому мастеру для физической деактивации порта – это займет немного времени и будет эффективным решением проблемы. Единственное, пусть это делают при вас. Почему только при вас, я описывал в данном материале.

Второй вариант – поменять устройство на более современную модель, где отсутствует порт FireWire. К счастью, сегодня найти устройство без этого порта несравнимо проще, нежели устройство с ним.

Надоело читать? Смотрите наш канал

YouTube канал от CyberYozh
Предыдущая глава
12327
Следующая глава