Die beiden F-Secure Sicherheitsberater Olle Segerdahl und Pasi Saarinen haben eine Schwachstelle entdeckt, um sich physisch in PCs zu hacken -und das gelingt ihnen bei fast alle modernen Computern. Dazu gehören Laptops von einigen der weltweit größten Anbieter wie Dell, Lenovo und sogar Apple.
Olle und Pasi haben ihre Forschungsergebnisse im Vorfeld mit Unternehmen wie Intel, Microsoft und Apple geteilt und präsentieren am 13. September ihre Ergebnisse auf der SEC-T Konferenz in Schweden sowie am 27. September auf der Microsoft BlueHat v18 Konferenz in den USA auch der Öffentlichkeit.
Hier der Vortrag auf der SEC-T:
Um was geht es?
Die Schwachstelle erlaubt es Angreifern, sich physischen Zugang zu bestimmten Computer zu verschaffen und einen erfolgreichen Angriff per Cold Boot durchzuführen, der es ihnen wiederum ermöglicht, Verschlüsselungscodes und andere sensible Informationen zu stehlen.
Diese Angriffsmethode ist durchaus nicht neu. Sie wurde bereits 2008 von einer Forschungsgruppe entwickelt. Die Forscher fanden damals heraus, wie sie die kurzfristig im Speicher (RAM) enthaltenden Informationen stehlen könnten, nachdem das Gerät keine Stromversorgung mehr hat.
Da Cold Boot-Angriffe nichts Neues sind, gab es Entwicklungen, um sie weniger effektiv zu machen. Eine von der Trusted Computing Group (TCG) geschaffene Sicherheitslösung bestand darin, den Inhalt des RAM bei der Wiederherstellung der Stromversorgung zu überschreiben.
Und genau hier setzt die Forschung von Olle und Pasi an. Die beiden Experten fanden eine Möglichkeit, diese Überschreibfunktion zu deaktivieren, indem sie die Hardware des Computers physisch manipulierten. Mit einem einfachen Tool fanden Olle und Pasi heraus, wie man den nichtflüchtigen Speicherchip, der diese Einstellungen enthält, überschreibt. Somit konnten sie das Überschreiben des Speichers deaktivieren und das Booten von externen Geräten ermöglichen. Cold Boot-Angriffe können dann durch Booten eines speziellen Programms von einem USB-Stick durchgeführt werden.
Cold Boot-Angriffe sind eine bekannte Methode, um Verschlüsselungscodes von Geräten zu erhalten. Aber die Realität ist, dass Angreifer alle Arten von Informationen in die Finger bekommen können: Passwörter, Anmeldeinformationen für Unternehmensnetzwerke und alle auf dem Computer gespeicherten Daten.
Und es wird noch schlimmer…..
Cold Boot-Angriffe nicht einfach durchzuführen und es erfordert die richtigen Tools sowie den physischen Zugriff auf das Gerät. Aber es eine bekannte Technik unter Hackern. Und da der Angriff von Olle und Pasi gegen fast alle modernen Laptops wirksam sein kann, bedeutet dies, dass Hacker einen einheitlichen, zuverlässigen Weg haben, ihre Ziele zu gefährden.
“Wir können die Tatsache nicht ignorieren, dass es bereits einige Hacker gibt, die den Angriff rekonstruieren können”, sagt Olle. “Es handelt sich hierbei nicht unbedingt um eine Sache, die Angreifer bei kleinen Fischen einsetzen würden. Es könnte sich allerdings rentieren, wenn es sich bei dem Ziel um einen großen Fisch aus der Finanzwelt oder einem großen Unternehmen handeln würde.”
Und Olle glaubt, dass es keine einfache Lösung für dieses Problem gibt. Daher ist es ein Thema, mit dem sich sowohl Unternehmen als auch Endkunden auseinandersetzen müssen.
…es gibt aber auch Lichtblicke
Olle und Pasi haben bereits Microsoft, Intel und Apple über ihre Forschungsergebnisse informiert. Alle drei Unternehmen prüfen mögliche Strategien zur Schadensbegrenzung. Olle und Pasi haben Microsoft auch dabei geholfen, die Leitlinien für Bitlocker-Gegenmaßnahmen zu aktualisieren. Und laut Apple sind Macs mit einem Apple T2-Chip von der Schwachstelle nicht betroffen. Apple empfiehlt Benutzern von Macs ohne T2-Chip, ein Firmware-Passwort festzulegen.
Letztlich liegt es aber an den Geräteherstellern, die Sicherheit ihrer Geräte zu erhöhen, um sie vor solchen Angriffen zu schützen. Olle räumt aber auch ein, dass dies kein einfacher Schritt sein sein wird. Und es wird nicht von heute auf morgen gehen.
“Die unterschiedlichen Geräte in den ganzen Unternehmen zu aktualisieren, stellt die PC-Hersteller vor eine Mammutaufgabe. Es bedarf einer abgestimmten Vorgehensweise der Industrie, die nicht über Nacht stattfindet”, erklärt Olle. “In der Zwischenzeit müssen die Unternehmen selbstständig handeln.”
Unternehmen müssen einen zuverlässigen Weg finden, um Cold Boot-Angriffe zu verhindern oder zu blockieren. Ein erster Schritt könnte sein, die Laptops so zu konfigurieren, dass ein Angreifer, der einen Cold Boot-Angriff durchführt, nichts zum Stehlen findet.
Olle und Pasi empfehlen, dass IT-Abteilungen alle Rechner so konfigurieren, dass sie entweder komplett heruntergefahren oder in den Hibernate-Modus gesetzt werden (nicht in den Ruhezustand) und dass die Benutzer beim Einschalten oder Wiederherstellen ihrer Rechner ihre Bitlocker-PIN eingeben müssen. Dies ist besonders wichtig für Führungskräfte (oder andere Mitarbeiter mit Zugang zu vertraulichen Informationen) und Mitarbeiter, die auf Reisen sind.
Ein Angreifer könnte immer noch einen erfolgreichen Cold Boot-Angriff auf Rechnern durchführen, die so konfiguriert sind. Verschlüsselungscodes werden jedoch nicht im RAM gespeichert, wenn ein Rechner in den Hibernate-Modus gesetzt oder heruntergefahren wird. Es gibt also keine wertvollen Informationen, die ein Angreifer stehlen kann.
Weitere Sicherheitsmaßnahmen umfassen die Sensibilisierung von Unternehmen für den Angriff.
“Manchmal ist der wichtigste Weg ein Sicherheitsproblem anzugehen, einfach die Leute wissen zu lassen, dass es existiert. Etwas Bewusstseinsbildung kann Wunder bewirken”, sagt Olle.
Schließlich rät Olle den Unternehmen, einen Notfallfall bereitzuhalten und den regelmäßig auf die Probe zu stellen, wie man mit verlorenen oder gestohlenen Rechnern umzugehen hat.
“Eine schnelle Maßnahme, die Zugangsdaten ungültig macht, wird gestohlene Laptops für Angreifer weniger attraktiv machen. Die zuständigen Personen für IT-Sicherheit und Notfallmanagement sollten sich auf ein solches Szenario vorbereiten und es trainieren. Die jeweiligen Mitarbeiter sollten dringend darauf hingewiesen werden, dass die IT-Abteilung sofort informiert werden muss, wenn ein Gerät verloren geht oder gestohlen wird“, sagt Olle. „Sich auf solche Fälle vorzubereiten, ist bessere Praxis als einfach anzunehmen, dass Geräte nicht physisch von Hackern manipuliert werden können, weil das offensichtlich nicht der Fall ist.“
Kategorien