您已经用强大的磁盘加密和安全软件保护了您的计算机。只要你能看见它就安全了。但是，一旦攻击者对您的计算机进行了物理访问，所有的赌注都将被取消。遭遇“恶女”攻击。

什么是“邪恶女仆”攻击？

这在网络安全中经常被重复：一旦攻击者对你的计算设备有了物理访问权限，所有的赌注就都输光了。“邪恶女佣”攻击是一个例子，而不仅仅是一个理论上的一个攻击者如何可以访问和破坏无人值守的设备。把“邪恶女仆”想象成间谍。

当人们出差或游玩时，他们经常把笔记本电脑放在酒店房间里。现在，如果有一个在酒店工作的“邪恶女佣”——一个清洁工（或伪装成清洁工的人），在他们正常打扫酒店房间的过程中，用他们的身体接触设备来修改和破坏它，那会怎么样？

现在，这可能不是普通人需要担心的事情。但这是对高价值目标的一种担忧，比如**雇员出国旅行，或是担心工业间谍活动的高管。

不仅仅是“邪恶女仆”

“邪恶女佣”攻击一词最早是由计算机安全研究员乔安娜·鲁特科夫斯卡在2009年发明的。“邪恶”女佣进入酒店房间的概念就是为了说明这个问题。但“邪恶女仆”攻击可以指任何情况下，你的设备离开你的视力和攻击者有物理访问它。例如：

• 您可以在线订购设备。在运输过程中，有人可以打开包装箱并损坏设备。
• 国际边境的边防人员将你的笔记本电脑、智能**或平板电脑带到另一个房间，稍晚归还。
• 执法人员把你的设备带到另一个房间，稍后归还。
• 你是一名高级管理人员，你把笔记本电脑或其他设备放在办公室里，其他人可能会接触到。
• 在一个电脑安全会议上，你把笔记本电脑放在酒店房间里无人看管。

有无数的例子，但关键的组合总是你离开你的设备无人看管你的视线，其他人可以访问它。

谁真的需要担心？

让我们现实一点：邪恶女仆攻击不像许多计算机安全问题。他们不是普通人关心的问题。

勒索软件和其他恶意软件像野火一样通过网络从一个设备传播到另一个设备。相反，邪恶女佣的攻击需要一个真正的人去他们的方式来破坏你的设备，特别是在人。这是间谍船。

从实际角度来看，邪恶女佣袭击是国际旅行的政客、高层管理人员、亿万富翁、记者和其他有价值的目标所关注的问题。

例如，2008年，中国官员可能在北京举行的贸易谈判中秘密访问了美国官员笔记本电脑的内容。这位官员把笔记本电脑放在无人看管的地方。正如***2008年的报道所说，“一些前商务官员对***说，他们在前往中国期间，时刻小心地随身携带电子设备。”

从理论的角度来看，邪恶女仆攻击是一个有用的方式来思考和总结一个全新的攻击类别，供安全专业人士防范。

换句话说：当你让你的计算设备离开你的视线时，你可能不需要担心有人会在有针对性的攻击中危害你的计算设备。然而，像杰夫·贝佐斯这样的人肯定需要为此担心。

一个邪恶的女佣攻击是如何工作的？

邪恶女佣的攻击依赖于以不可察觉的方式修改设备。在创造这个术语时，Rutkowska演示了一种破坏TrueCrypt系统磁盘加密的攻击。

她创建了一个可以放在可引导USB驱动器上的软件。攻击者所要做的就是将USB驱动器**一台断电的计算机，打开它，从USB驱动器启动，然后等待大约一分钟。软件将引导并修改TrueCrypt软件以将密码记录到磁盘。

然后目标返回酒店房间，打开笔记本电脑，输入密码。现在，邪恶女佣可以返回并窃取笔记本电脑-被泄露的软件将保存解密密码到磁盘，邪恶女佣可以访问笔记本电脑的内容。

这个示例演示如何修改设备的软件，这只是一种方法。邪恶女佣攻击还可能涉及物理打开笔记本电脑、台式机或智能**，修改其内部硬件，然后关闭备份。

邪恶女仆的攻击甚至不需要那么复杂。例如，假设一个清洁工（或冒充清洁工的人）可以进入财富500强公司的CEO办公室。假设CEO使用的是台式电脑，“邪恶”的清洁工可以在键盘和电脑之间安装一个硬件键盘记录器。他们可以在几天后回来，抓起硬件键盘记录器，看到CEO在安装键盘记录器时键入的所有内容，并记录击键。

这种设备本身甚至不必妥协：比如说，一个CEO使用一种特定型号的笔记本电脑，然后把它放在酒店房间里。一个邪恶的女佣进入酒店房间，用一台看起来一模一样的笔记本电脑替换CEO的笔记本电脑，然后离开。当首席执行官打开笔记本电脑，输入他们的加密密码时，被破解的软件“打电话回家”，并将加密密码传送给邪恶的女佣。

它教给我们关于计算机安全的知识

邪恶女佣的攻击真的突出了物理访问您的设备是多么危险。如果攻击者对无人看管的设备有无监督的物理访问权限，那么您几乎无法保护自己。

在最初的邪恶女仆攻击案例中，鲁特科夫斯卡证明，即使是那些遵循启用磁盘加密和关闭设备电源的基本规则的人，无论何时离开设备，都是易受攻击的。

换言之，一旦攻击者在你的视线之外对你的设备进行了物理访问，所有的赌注都被取消了。

你怎样才能抵御邪恶女佣的攻击？

正如我们所指出的，大多数人真的不需要担心这种类型的攻击。

为了防止邪恶女佣的攻击，最有效的解决办法就是监视一个设备，确保没有人能接触到它。当世界上最强大国家的领导人出访时，你可以打赌他们不会把笔记本电脑和智能**放在无人监管的酒店房间里，在那里他们可能会受到另一个国家情报部门的威胁。

也可以将设备放在上锁的保险箱或其他类型的锁箱中，以确保攻击者无法访问设备本身，尽管有人可能会撬开锁。例如，虽然许多酒店客房都有内置保险箱，但酒店员工通常都有主钥匙。

现代设备越来越能抵抗某些类型的邪恶女佣攻击。例如，安全引导确保设备通常不会引导不受信任的USB驱动器。然而，它是不可能抵御各种类型的邪恶女佣攻击。

具有物理访问权限的确定攻击者将能够找到方法。

每当我们写关于计算机安全的文章时，我们发现重温一本关于安全的经典xkcd漫画是很有帮助的。

邪恶女仆攻击是一种普通人不太可能对付的复杂攻击类型。除非你是一个很可能成为情报机构或企业间谍活动目标的高价值目标，否则还有很多其他数字威胁需要担心，包括勒索软件和其他自动攻击。