Araştırmacılar anında kriptolama yapan programları hedefleyen yeni bir saldırı tipi buldular.
Alman araştırmacı tarafından bulunan yeni saldırı tipi, dosyaları mount edilmiş bölümlerde tutan popüler windows kriptolama programlarının hack edilebilmesini sağlıyor.
Bern Roellgen tarafından yayınlanan dokümana göre bu tip OTFE (on-the-fly-encryption) programları genelde şifre ve dosya yolu bilgisini DeviceIOControl windows programlama fonksiyonuna bir cihaz sürücü kullanarak açıkta (clear) gönderiyorlar.
Kötü amaçlı bir programın bu bilgiyi direk olarak ele geçirmesi imkansız olmasına rağmen -- özel hazırlanmış bir kriptolama programı bu verilerin cache'lendiği hafıza bölgelerinin üzerine yazabilir -- eğer saldırganlar Windows kernel'ini hack etme yolu bulurlarsa bu bilgileri de alabilirler.
Roellgen'in Mount IOCTL (input/output control - giriş çıkış kontrolü) saldırısı olarak adlandırdığı bu yeni metod ile bir saldırganın kendi değiştirdiği ve kernel'in bir parçası olan ve (kriptolama sürücüsü tarafından kullanılanları bulabilmek için) I/O kontrol kodlarını loglayabilen bir DeviceIOControl fonksiyonunu kullandırabilmesi gerekiyor. Kriptolama sürücüsünün kullandığı I/O kontrol kodları bulunduğunda mount edilen volümü kriptolama ve dekriptolama için kullanılan şifre de ele geçirilebiliyor.
Söylendiği kadar kolaymı? Ana elementler tespit edilmeden bir super-rootkit gibi windows kernel'ine müdahele etmek, ve sonrasında kriptolama programı tarafından kullanılan özel kontrol kodlarını bulmak, her ikisi de kolay değil, fakat en azından teorik olarak mümkün.
Roellgen "Bu saldırı şimdiye kadar bilinmediğinden, bu tip sanal disk mount eden kriptolama programlarının hepsinin bundan etkilenmesi mümkün olabilir" dedi.
C.tesi Eyl. 19, 2009 4:28 pm