Security

PoC: Implementing evil maid attack on encrypted /boot

Even if you use full disk encryption, there is still unencrypted code on the disk that asks you for the password. An evil maid attack is an attack on an unattended device, in which an attacker with physical access can backdoor the bootloader to grab the full disk encryption password. This attack is easy to perform if the target uses an unencrypted boot partition. GRUB2 also supports encrypted boot partitions, where stage 1.5 of the bootloader decrypts the boot partition. Conceptual, evil maid attack is still possible, but it's harder to implement. I couldn't find a public exploit, so I wrote my own. In this talk, I will explain the Linux boot process and the process of backdooring GRUB2 to get the full disk encryption password. The talk only covers Linux and GRUB2. There will be some slides, but most of the time you will see my terminal and some python code.

Additional information

Live Stream https://streaming.media.ccc.de/gpn20/medientheater
Type Vortrag
Language English

More sessions

5/19/22
Security
Christoph Biedl
Vortragssaal
Mit "secure boot" wird ein gefährliches Einfallstor für Schadsoftware und manipulierte Betriebssysteme geschlossen: Es können nur Betriebssysteme gestartet werden, die über eine gültige kryptographische Signature verfügen. Der Vortrag stellt das Konzept von secure boot vor und erzählt von den Erfahrungen, so etwas auf Linux-Systemen auch wirklich zum Laufen zu bringen.
5/20/22
Security
Leyrer
Ausstellung BioMedien
Die Bilder in Serien und Filmen sind immer beeindruckend - da wird eine schwarze Konsole aufgemacht, die Heldin tippt ein wenig herum und schon ist die Root-Shell auf dem Server da, der Hack erfolgreich und die Welt gerettet. Doch wie sieht das in der Realität aus? Wenn ihr einen Laptop mit einem Kali-Linux auf USB-Stick oder in einer virtuellen Maschine mit bringt, führe ich Euch durch die notwendigen Schritte. Von der Analyse des Zielsytems, dem Finden von Schwachstellen bis hin zum ...
5/20/22
Security
Thorsten Sick
Vortragssaal
Purple Dome (https://github.com/avast/PurpleDome) ist eine Umgebung, um Hacking-Angriffe mit Caldera, Metasploit und Kali zu simulieren und die Reaktion von Sensoren auf den Zielsystemen zu beobachten.
5/20/22
Security
Karel Kubicek
Vortragssaal
The European Union’s General Data Protection Regulation (*GDPR*) requires websites to inform users about personal data collection and request consent for cookies. Yet the majority of websites do not give users any choices, and others attempt to deceive them into accepting all cookies. We document the severity of this situation through an analysis of potential GDPR violations in cookie banners in almost 30k websites. We identify six novel violation types, such as incorrect category assignments ...
5/20/22
Security
Joachim Breitner
Vortragssaal
The ECDSA signature scheme, which is used in Bitcoin, Ethereum and others, requires a fresh secret number, the 'nonce', for each signature. When this number is not generated uniformly at random, the security of the signature is in danger, and the private key may be recovered from the signatures, using a lattice-based algorithm. In this talk, we have a brief look at the math behind elliptic curve signatures and how to break the encryption when the “random nonce” isn't really random. Nadia ...
5/20/22
Security
cy
Medientheater
Um den Jahreswechsel ging ein Aufschrei durch die IT-Abteilungen der Welt, der es bis in die Mainstream-Medien geschafft hat. Noch Wochen später zeigen sich Folgeprobleme in weit verbreiteter Software. In Log4j, einer weit verbreiteten Java-Bibliothek wurde eine massive Sicherheitslücke gefunden, die die Ausführung von Schadcode auf einem entfernten System erlaubt. In diesem Vortrag soll rekapitulierend erklärt werden, warum und wann es zu dem Problem kam und welche Auswirkungen bisher ...
5/20/22
Security
Hilko Bengen
Vortragssaal
Die Erkennung von Angriffen auf Netzwerke setzt die Arbeit mit hostbasierten Indikatoren voraus, die über das normal übliche "syslog"-Maß "ssh-Login als User U mit Key X", "User U wird root", "Logout User U" hinausgehen. Linux Audit Subsystem ("auditd") ist geeignet, um feingranulare Events aufzuzeichnen, aber das Format taugt nicht zur Weiterverarbeitung. Ich gehe auf die Probleme des Formats ein, zeige, wie man dieses Problem mit vertretbarem CPU-Overhead gelöst bekommt und was man bei der ...