Niekoniecznie zaufane urządzenia i co można z nimi zrobić w Qubes OS

Podobne dokumenty
Przegląd dostępnych hypervisorów. Jakub Wojtasz IT Solutions Architect

PARAGON GPT LOADER. Przewodnik

Tworzenie bezpiecznego środowiska kont shellowych

Administracja serwerami

Konwersja maszyny fizycznej na wirtualną

Konwersja maszyny fizycznej na wirtualną.

17-18 listopada, Warszawa

Automatyczne testowanie infrastruktury pod kątem bezpieczeństwa. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

Wirtualizacja. Piotr Sikora Tomasz Ziółkowski

Wirtualizacja. Metody, zastosowania, przykłady

EL WIN USB Nr produktu

Architektura bezpiecznych aplikacji internetowych na platformie Java Enterprise Edition. Jakub Grabowski Warszawa,

USB firmware changing guide. Zmiana oprogramowania za przy użyciu połączenia USB. Changelog / Lista Zmian

INSTALACJA LICENCJI SIECIOWEJ NET HASP Wersja 8.32

USB firmware changing guide. Zmiana oprogramowania za przy użyciu połączenia USB. Changelog / Lista Zmian

Jarosław Kuchta. Administrowanie Systemami Komputerowymi. System plików

MIGRATE TO 3TB. Przewodnik

Zgodność, fraudy i inne wyzwania oraz zagrożenia w Bankach Spółdzielczych. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

Zespól Szkół Ponadgimnazjalnych Nr 17 im. Jana Nowaka - Jeziorańskiego Al. Politechniki 37 Windows Serwer 2003 Instalacja

Wersja polska. Wstęp. Zawartość opakowania. Dane techniczne. Dodatkowe dane techniczne. BT200 - Sweex Bluetooth 2.0 Class II Adapter USB

Wersja polska. Wprowadzenie. Instalacja sprzętu. PU011 Karta PCI Express z 1 portem równoległym Sweex

DVD MAKER USB2.0 Instrukcja instalacji

T: Instalacja systemu Windows 2008 Serwer w maszynie wirtualnej VirtualBox.

System operacyjny System operacyjny

RHEL 5 wpływ wirtualizacji na koszty

KARTA INTERFEJSU RÓWNOLEGŁEGO PCI

PU002 Sweex 2 Port Serial PCI Card

Wersja polska. Wstęp. Zawartość opakowania. Dane techniczne BT100. Dodatkowe dane techniczne BT100 S W E E X. C O M

OCHRONA PRZED RANSOMWARE. Konfiguracja ustawień

Firewall bez adresu IP

Wersja polska. Wstęp. Sprzęt. Instalacja w Windows 98SE. PU007 Sweex 1 Port Parallel & 2 Port Serial PCI Card

System komputerowy. System komputerowy

Przewodnik technologii ActivCard

Wersja polska. Wstęp. Zawartość opakowania. Dane techniczne. PU001 Sweex 1 Port Parallel PCI Card

Urz dzenia zewn trzne

AE/ZP-27-16/14. Oprogramowanie do wykonywania kopii zapasowych oraz zarządzania maszynami wirtualnymi

Paweł Skrobanek. C-3, pok pawel.skrobanek.staff.iiar.pwr.wroc.pl

Wirtualizacja w praktyce.

Urządzenia zewnętrzne

Wersja polska. Wprowadzenie. Instalacja sprzętu. PU013 Karta PCI z 1 portem równoległym i 2 portami szeregowymi Sweex

Zadanie1. Wykorzystując serwis internetowy Wikipedii wyjaśnij następujące pojęcia: wirtualizacja, VirtualBox, Vmware, KVM, Virtual PC, Hyper-V.

Testy jednostkowe - zastosowanie oprogramowania JUNIT 4.0 Zofia Kruczkiewicz

USB firmware changing guide. Zmiana oprogramowania za przy użyciu połączenia USB. Changelog / Lista Zmian

MANAGER 2010 PROFESSIONALP VS. VIRTUALIZATION WIRTUALIZACJA OBSŁUGIWANE ANAGER 2010 C MANAGER 2010 CORPORATE: Funkcja. Korzyści.

Datacenter - Przykład projektu dla pewnego klienta.

Urządzenia zewnętrzne Instrukcja obsługi

klikamy Next 4. Wybieramy zgodność z systemem Virtual Machine hardware compatibility z listy zaznaczamy Workstation 6 Next 5.

Kernel Kompilacja jądra

Opis przedmiotu zamówienia Specyfikacja techniczna

SYSTEMY OPERACYJNE WYKLAD 5 - zarządzanie pamięcią pomocniczą

Palo Alto firewall nowej generacji

Instrukcja instalacji sterowników USB dla urządzeń Posnet Polska S.A.

Bezpieczne udostępnianie usług www. BłaŜej Miga Zespół Bezpieczeństwa PCSS

Przełącznik USB 2.0. Podręcznik użytkownika. Typ: DA & DA

Udostępnianie urządzenia USB w sieci...3. Udostępnianie drukarki USB...5. Tworzenie kopii zapasowej komputera Mac z użyciem funkcji Time Machine...

dr inż. Jarosław Forenc

Tworzenie maszyny wirtualnej

Wersja polska. Wstęp. Sprzęt. Instalacja w Windows 98SE. PU006 Sweex 2 Port Serial PCI Card

Instrukcja instalacji środowiska testowego na TestingCup wersja 1.0


BT180 CLASS I USB BLUETOOTH ADAPTER Informacje na temat produktu

Skrócony sposób działania przy użyciu po

WZÓR UMOWY. Zawarta w Białymstoku, w dniu.. pomiędzy:

Urządzenia zewnętrzne

Obudowa zewnętrznego dysku USB 2.0, 2.5" (6.35cm)

Wersja polska. Wstęp. Sprzęt. Instalacja w Windows 98SE. PU053 Sweex 4 Port USB 2.0 & 3 Port Firewire PCI Card

Wersja polska. Wstęp. Połączenia. Uwaga! Instalacja w Windows 98SE. PU054 Sweex 2 Port USB 2.0 & 2 Port FireWire PC Card

ADAPTER WIDEO USB 2.0 DO HDMI

Instalacja pełnej wersji (development i/lub Windows runtime) oprogramowania Wonderware InTouch Machine Edition

Wersja polska. Wstęp. Zawartość opakowania. Dane techniczne. Połączenia. PU051 Sweex 4 Port USB 2.0 & 2 Port Firewire PCI Card

Portal Security - ModSec Enterprise

SecureDoc Standalone V6.5

WIRTUALIZACJA teoria i praktyka. Oskar Skibski, Piotr Sikora, Mateusz Kruszyński

Projekt współfinansowany przez Unię Europejską w ramach Europejskiego Funduszu Społecznego. Opis oferowanego przedmiotu zamówienia

BitDefender GravityZone Security for Virtualized Environments VS 1ROK

INSTRUKCJA UŻYTKOWNIKA MPCC

Włodzimierz Dymaczewski 10/05/2010. Forum IT. Zarządzanie realnymi problemami środowisk wirtualnych IBM Corporation

Cel szkolenia. Konspekt

Proces instalacji systemu operacyjnego Linux Red Hat 7.3 (1)

Kasy Fiskalne Lublin Analityk

Marzena Kanclerz. Microsoft Channel Executive. Zachowanie ciągłości procesów biznesowych. z Windows Server 2012R2

KOMPUTER. Programy użytkowe i systemy operacyjne

Instrukcja krok po kroku instalacji Windows Vista w nowym komputerze

Pomoc: konfiguracja PPPoE

SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE..

Wybrane metody obrony przed atakami Denial of Service Synflood. Przemysław Kukiełka

Integracja systemu antymalwarowego HP ATA z urządzeniami bezpieczeństwa sieciowego HP NGIPS. Sebastian Mazurczyk Warszawa / 19, 06, 2015

Moduł USB GREISINGER EBW3 EASYBUS

Produkty. ESET Produkty

OCHRONA PRZED RANSOMWARE

Monitorowanie VMware Rafał Szypułka Service Management Solution Architect IBM Software Services for Tivoli

Informatyka. Wy-03 Dynamiczna alokacja pamięci, wyjątki. mgr inż. Krzysztof Kołodziejczyk

KURS ADMINISTROWANIA BAZAMI DANYCH WYKŁADY 1, 2 i 3

Near Field Communication

Automatyczna instalacja oraz zmiana konfiguracji w ramach całego klastra.

WWQ. Wakacyjne Warsztaty QNAP. Zaczynamy o 11:00. Prowadzący: Łukasz Milic Certyfikowany Trener QNAP

System wspomagania zarządzania wirtualizacją

Urz dzenia zewn trzne

Audytowane obszary IT

Dlaczego powinieneś nabyć NTFS for MAC OS X 8.0?

Transkrypt:

i co można z nimi zrobić w 7 listopada 2016

Outline Co może pójść źle 1 Co może pójść źle 2

System plików Skomplikowana struktura

System plików Skomplikowana struktura Atakujący wybiera cel - np. egzotyczny sterownik

System plików Skomplikowana struktura Atakujący wybiera cel - np. egzotyczny sterownik Zwykle wymaga niewiele interakcji użytkownika

CVE-2014-4115 fastfat.sys (aka the FASTFAT driver) in the kernel-mode drivers in Microsoft Windows Server 2003 SP2, Vista SP2, and Server 2008 SP2 does not properly allocate memory, which allows physically proximate attackers to execute arbitrary code or cause a denial of service CVE-2015-7509 A flaw was found in the way the Linux kernel s ext4 file system driver handled non-journal file systems with an orphan list. An attacker with physical access to the system could use this flaw to crash the system or, although unlikely, escalate their privileges on the system.

System plików Skomplikowana struktura Atakujący wybiera cel - np. egzotyczny sterownik Zwykle wymaga niewiele interakcji użytkownika Tablica partycji Niby prosta struktura...

System plików Skomplikowana struktura Atakujący wybiera cel - np. egzotyczny sterownik Zwykle wymaga niewiele interakcji użytkownika Tablica partycji Niby prosta struktura...... ale mimo to zdarzają się błędy

CVE-2016-5011 It was found that util-linux s libblkid library did not properly handle Extended Boot Record (EBR) partitions when reading MS-DOS partition tables. An attacker with physical access to a protected machine could insert a storage device with a specially crafted partition table that could, for example, trigger an infinite loop in systemd-udevd, resulting in a denial of service on that machine.

Interfejs Sama obsługa interfejsu urządzenia jest złożona

CVE-2016-0133 The Mass Storage Class driver in Microsoft Windows Vista SP2, Windows Server 2008 SP2 and R2 SP1, Windows 7 SP1, Windows 8.1, Windows Server 2012 Gold and R2, Windows RT 8.1, and Windows 10 Gold and 1511 allows physically proximate attackers to execute arbitrary code by inserting a crafted device, aka Mass Storage Elevation of Privilege Vulnerability. CVE-2016-2384 Double free vulnerability in the snd_usbmidi_create function in sound/usb/midi.c in the Linux kernel before 4.5 allows physically proximate attackers to cause a denial of service (panic) or possibly have unspecified other impact via vectors involving an invalid descriptor.

Interfejs Sama obsługa interfejsu urządzenia jest złożona Urządzenie może nie być tym za co się podaje - np niespodziewany hub i klawiatura

Rubber Ducky

Outline Co może pójść źle 1 Co może pójść źle 2

fot. Jason7825 at English Wikipedia

Express Card Wszytko to co

Express Card Wszytko to co Dodatkowo PCI Express, a więc również DMA

DMA Bezpośredni dostęp od pamięci

DMA Bezpośredni dostęp od pamięci Modyfikacja kodu, odczytywanie danych, co tylko można sobie wymarzyć

DMA Bezpośredni dostęp od pamięci Modyfikacja kodu, odczytywanie danych, co tylko można sobie wymarzyć Poza kontrolą sterownika

Thunderbolt PCI Express + DisplayPort, a w v3 również i HDMI FireWire Również obsługuje DMA

Outline Co może pójść źle 1 Co może pójść źle 2

MMU dla urządzeń - ograniczenie poszczególnych urządzeń do pamięci wirtualnej zdefiniowanej przez OS

MMU dla urządzeń - ograniczenie poszczególnych urządzeń do pamięci wirtualnej zdefiniowanej przez OS Poprawnie skonfigurowane uniemożliwia ataki oparte o DMA

MMU dla urządzeń - ograniczenie poszczególnych urządzeń do pamięci wirtualnej zdefiniowanej przez OS Poprawnie skonfigurowane uniemożliwia ataki oparte o DMA Obsługiwane w Xen, KVM

MMU dla urządzeń - ograniczenie poszczególnych urządzeń do pamięci wirtualnej zdefiniowanej przez OS Poprawnie skonfigurowane uniemożliwia ataki oparte o DMA Obsługiwane w Xen, KVM

MMU dla urządzeń - ograniczenie poszczególnych urządzeń do pamięci wirtualnej zdefiniowanej przez OS Poprawnie skonfigurowane uniemożliwia ataki oparte o DMA Obsługiwane w Xen, KVM, Linux... Nie rozwiązuje pozostałych problemów - komunikacji za pomocą (potencjalnie skompromitowanego) sterownika

Outline Co może pójść źle 1 Co może pójść źle 2

Sprzętowy firewall pomiędzy urządzeniem a hostem https://github.com/robertfisk/usg/wiki

USG Filtruje klasy urządzeń, tylko jeden interfejs na raz W obrębie danej klasy przepuszcza tylko poprawne pakiety Blokuje zmiany klasy

Outline Co może pójść źle 1 Co może pójść źle 2

Więcej izolacji Odizolować urządzenia i sterowniki od reszty systemu

Więcej izolacji Odizolować urządzenia i sterowniki od reszty systemu Podłączyć do dedykowanej maszyny wirtualnej (nie używanej do niczego innego)

Więcej izolacji Odizolować urządzenia i sterowniki od reszty systemu Podłączyć do dedykowanej maszyny wirtualnej (nie używanej do niczego innego) Nie zapobiega atakom, ogranicza ich zasięg

Więcej izolacji Odizolować urządzenia i sterowniki od reszty systemu Podłączyć do dedykowanej maszyny wirtualnej (nie używanej do niczego innego) Używanie Nie zapobiega atakom, ogranicza ich zasięg Wyeksportować urządzenie/dane dużo wyższego poziomu - np. pojedynczą partycję, albo wręcz plik

Więcej izolacji Odizolować urządzenia i sterowniki od reszty systemu Podłączyć do dedykowanej maszyny wirtualnej (nie używanej do niczego innego) Używanie Nie zapobiega atakom, ogranicza ich zasięg Wyeksportować urządzenie/dane dużo wyższego poziomu - np. pojedynczą partycję, albo wręcz plik Podłączyć do jednorazowej VM (DisposableVM) - niszczonej po użyciu

https://github.com/rustybird/qubes-split-dm-crypt

Więcej izolacji Odizolować urządzenia i sterowniki od reszty systemu Podłączyć do dedykowanej maszyny wirtualnej (nie używanej do niczego innego) Używanie Nie zapobiega atakom, ogranicza ich zasięg Wyeksportować urządzenie/dane dużo wyższego poziomu - np. pojedynczą partycję, albo wręcz plik Podłączyć do jednorazowej VM (DisposableVM) - niszczonej po użyciu Filtrować dane wyższego poziomu: PDF converter, input proxy,...

https://github.com/qubesos/qubes-app-linux-pdf-converter

https://github.com/qubesos/qubes-app-linux-input-proxy

Poufność Nie tylko manipulacja danymi, prywatność też jest ważna - np. podsłuchiwanie

Poufność Nie tylko manipulacja danymi, prywatność też jest ważna - np. podsłuchiwanie Wrażliwe urządzenia: klawiatura, mikrofon, kamera (o ile nie zasłonięta),...

Poufność Nie tylko manipulacja danymi, prywatność też jest ważna - np. podsłuchiwanie Wrażliwe urządzenia: klawiatura, mikrofon, kamera (o ile nie zasłonięta),... Klawiatura podwójnie wrażliwa: zarówno integralność (wstrzykiwanie klawiszy), jak i prywatność - klawiatura zna hasła, więc standardowa blokada ekranu nie wystarcza

Poufność Nie tylko manipulacja danymi, prywatność też jest ważna - np. podsłuchiwanie Wrażliwe urządzenia: klawiatura, mikrofon, kamera (o ile nie zasłonięta),... Klawiatura podwójnie wrażliwa: zarówno integralność (wstrzykiwanie klawiszy), jak i prywatność - klawiatura zna hasła, więc standardowa blokada ekranu nie wystarcza Odrobinę pomaga 2FA do blokady ekranu

Pytania?

Dziękuję!

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres