Cosa fai col tuo notebook quando finisci di lavorare? Lo spegni? Lo metti in modalità sleep? Abbassi solo lo schermo chiudendolo e poi te ne vai?
Molte persone non sanno che ciò che fanno quando lasciano il loro computer incustodito, anche un notebook con crittografia del disco, può causare seri problemi alla sicurezza.
“La modalità sleep è vulnerabile,” spiega Olle Segerdahl, Principal Security Consultant di F-Secure.
Olle e il suo collega Pasi Saarinen, cyber security consultant, hanno recentemente scoperto un nuovo modo per violare fisicamente i computer. Secondo la loro ricerca, questo metodo funzionerebbe contro quasi tutti i moderni computer, inclusi quindi anche i notebook di alcuni dei più grandi produttori come Dell, Lenovo, e anche Apple.
E poiché questi computer sono diffusi ovunque, Olle e Pasi hanno condiviso la loro ricerca con aziende come Microsoft, Apple e Intel, ma anche con gli utenti finali. I due ricercatori hanno presentato la loro ricerca alla conferenza SEC-T che si è tenuta in Svezia il 13 settembre e ne parleranno anche al BlueHat v18 di Microsoft negli Stati Uniti il prossimo 27 Settembre.
È possibile guardare l’intervento tenuto a SEC-T qui sotto per avere tutti i dettagli oppure puoi continuare a leggere per saperne di più!
In pratica, Olle e Pasi hanno scoperto una debolezza nel modo in cui i computer proteggono il firmware. I ricercatori affermano che gli attaccanti in grado di ottenere accesso fisico al computer preso di mira possono sfruttare questo punto debole per sferrare un attacco cold boot, il che consentirebbe loro di rubare le chiavi di crittografia e altre informazioni sensibili.
Gli attacchi cold boot non sono una novità. Sono stati sviluppati da un gruppo di ricerca nel 2008. Quei ricercatori avevano scoperto che quando un computer viene resettato senza seguire le procedure normali (quindi con un cold/hard reboot), si possono rubare informazioni che rimangono per breve tempo nella memoria (RAM) dopo che il dispositivo smette di essere alimentato.
Dato che gli attacchi cold boot non sono nuovi, ci sono stati sviluppi per renderli meno efficaci. Uno degli espedienti creati da Trusted Computing Group (TCG) consisteva nel riscrivere i contenuti della RAM quando l’alimentazione veniva ripristinata.
Ed è da qui che la ricerca di Olle e Pasi è partita. I due esperti hanno trovato un modo per disabilitare questa funzione di sovrascrittura che consiste nel manipolare fisicamente l’hardware del computer. Usando un semplice strumento, Olle e Pasi hanno scoperto come riscrivere il chip della memoria non-volatile che contiene queste impostazioni, disabilitare la sovrascrittura della memoria, e abilitare l’avvio di dispositivi esterni. Gli attacchi cold boot possono così essere sferrati avviando un programma speciale da una chiavetta USB.
Gli attacchi cold boot rappresentano un metodo noto per ottenere le chiavi di crittografia dai computer. Ma la realtà è che gli attaccanti possono anche mettere le mani su tutta una serie di altri dati usando questo tipo di attacco: password, credenziali di accesso alle reti aziendali, e qualsiasi altro dato archiviato sulla macchina sono a rischio.
Ma il peggio deve ancora venire…
Sebbene gli attacchi cold boot non siano semplici da portare avanti e richiedano gli strumenti giusti, oltre che l’accesso fisico al computer, restano una tecnica conosciuta tra gli hacker. E dal momento che l’attacco di Olle e Pasi può essere efficace contro quasi tutti i notebook moderni, ciò significa che gli hacker hanno la concreta possibilità di poter compromettere i loro bersagli.
“Non è proprio semplice da portare avanti come attacco, ma non è una problematica così difficile da trovare e sfruttare da poter ignorare la probabilità che alcuni attaccanti l’abbiano già scoperta” spiega Olle. “Non è certo quel genere di ‘punto debole’ che gli attaccanti alla ricerca di bersagli facili sfrutteranno. Ma è quel genere di cose che gli attaccanti che vogliono prendere di mira bersagli più grandi, come banche o grandi aziende, sapranno come usare a loro vantaggio.”
E Olle ritiene che non ci sia alcuna facile soluzione per i vendor di PC, quindi si tratta di qualcosa che le aziende e gli utenti finali devono affrontare per conto proprio.
…ma non ci sono solo brutte notizie
Olle e Pasi hanno condiviso la loro ricerca con Microsoft, Intel e Apple. Tutte e tre le aziende stanno cercando quali possibili strategie di mitigazione mettere in atto. Olle e Pasi hanno anche aiutato Microsoft ad aggiornare la loro guida sulle contromisure con Bitlocker. E secondo Apple, i Mac equipaggiati con un Chip Apple T2 contengono misure di sicurezza progettate per proteggere i dispositivi da attacchi come quello realizzato da Olle e Pasi. Apple raccomanda anche agli utenti di impostare una password per il firmware per aiutare a rafforzare i Mac che non hanno il chip T2.
Concludendo, Olle sostiene che sta ai produttori rafforzare la sicurezza di computer desktop e notebook per proteggerli contro attacchi come questi. Ma riconosce anche che non sarà così facile e veloce.
“Se si pensa a quanti diversi computer di quante differenti aziende sono in uso, e se si somma questo alla difficoltà di convincere tutti questi utenti ad aggiornare i propri dispositivi, è facile comprendere come questo problema sia davvero difficile da risolvere facilmente. Serve quel genere di risposta coordinata dell’industria che non arriva in una notte,” sottolinea Olle. “Nel frattempo, le aziende devono fare da sè.”
Le aziende faranno fatica a trovare un modo affidabile per prevenire o bloccare un attacco cold boot una volta che un attaccante con il giusto know-how mette le mani su un laptop. Ma le aziende possono configurare i laptop in modo che un utente malintenzionato che utilizza un attacco cold boot non trovi nulla da rubare.
Hibernation + pre-boot authentication is the best protection against cold boot attacks. No keys in memory to steal!
— olle@nxs.se (@nxsolle) September 4, 2018
Olle e Pasi consigliano ai reparti IT di configurare tutti i computer aziendali in modalità di spegnimento o ibernazione (non in modalità di sospensione) e di richiedere agli utenti di inserire il PIN di Bitlocker ogni volta che accendono o ripristinano i loro computer. Ciò è particolarmente importante per i dirigenti aziendali (o altri dipendenti con accesso a informazioni sensibili) e per i dipendenti che viaggiano (che hanno maggiori probabilità di lasciare il proprio notebook nelle camere d’albergo, in taxi, ristoranti o aeroporti).
Un attaccante potrebbe comunque eseguire un attacco cold boot con successo su macchine configurate in questo modo. Ma le chiavi di crittografia non sono archiviate nella RAM quando una macchina va in ibernazione o si spegne. Quindi non ci sono informazioni preziose che un attaccante possa rubare.
Altre misure di sicurezza includono la sensibilizzazione su questo tipo di attacco tra aziende e dipendenti.
“A volte il modo più importante per affrontare un problema di sicurezza è semplicemente far sapere alle persone che esiste. Un po’ di creazione della consapevolezza può fare miracoli“, dice Olle.
Infine, Olle consiglia alle aziende di avere un piano di risposta agli incidenti per affrontare i casi in cui un computer venga perso o rubato.
“Una rapida risposta che invalida le credenziali di accesso renderà i notebook rubati meno preziosi per gli aggressori. I team di sicurezza IT e di risposta agli incidenti dovrebbero provare questo scenario e assicurarsi che i dipendenti dell’azienda sappiano che devono immediatamente informare l’IT in caso di smarrimento o furto di un dispositivo”, spiega Olle. “La pianificazione di questi eventi è una pratica migliore rispetto all’assunzione che i dispositivi non possano essere fisicamente compromessi dagli hacker, perché ovviamente non è così.“
Categorie