“Sleep” è una modalità vulnerabile
Molte persone pensano che utilizzando la crittografia completa del disco sui loro notebook, le loro informazioni rimarranno al sicuro, anche se il dispositivo cade nelle mani sbagliate. Ma due consulenti di sicurezza di F-Secure poche settimane fa hanno fatto venire i brividi a CISO, vendor di PC e alla comunità della sicurezza quando hanno rivelato un difetto nei computer moderni che li espone agli attacchi cold boot.
Olle Segerdahl di F-Secure e Pasi Saarinen hanno dimostrato come sfruttare questo difetto durante una dimostrazione dal vivo al SEC-T in Svezia.
Puoi leggere questo post sul blog o ascoltare questo podcast per conoscere tutti i dettagli. Ma secondo Olle e Pasi, il punto fondamentale è che i computer in modalità sleep non dovrebbero essere considerati sicuri.
Scarica il poster“La modalità sleep è vulnerabile,” ha spiegato Olle.
Quando un computer entra in modalità sleep, le informazioni rimangono nella RAM, incluse le informazioni sensibili come le chiavi di crittografia. Un attacco cold boot permetterebbe a un avversario di estrarre queste informazioni da un computer in questa modalità.
Una volta che un utente malintenzionato ha le chiavi di crittografia, è solo una questione di tempo prima che si introduca nel dispositivo. E per molte organizzazioni, questo mette a rischio informazioni come le credenziali dell’account, dando agli attaccanti le chiavi per entrare nella rete aziendale.
Hibernation + pre-boot authentication is the best protection against cold boot attacks. No keys in memory to steal!
— olle@WithSecure (@olle_withsecure) September 4, 2018
Secondo Olle e Pasi, la migliore difesa è configurare i dispositivi in modo che richiedano l’autenticazione per il pre-avvio (inserendo una password o un PIN per decrittografare il disco rigido del dispositivo prima che il sistema operativo venga caricato), e spegnere completamente i dispositivi quando non vengono utilizzati. Le aziende dovrebbero mettere in atto questo consiglio configurando i propri computer in modo tale che vadano in modalità di ibernazione dopo un periodo di inattività e che richiedano la password o il PIN da inserire all’avvio del dispositivo. Microsoft ha fornito una guida aggiornata su questo problema qui.
Ma la modalità ibernazione è sempre disponibile?
Ci sono alcuni avvertimenti che devi tenere in considerazione prima di affrettarti a seguire il consiglio di Olle. Per chi usa l’edizione home di Windows 10, occorre sapere che non esiste un’opzione per impostare il PIN Bitlocker. Se pensi che un hacker possa rubare fisicamente il tuo notebook personale per sottrarre i tuoi dati, allora dovresti effettuare l’aggiornamento a Windows 10 Pro.
La preoccupazione principale riguarda le organizzazioni e la loro capacità di proteggere o meno i propri notebook da questi attacchi.
“Questa misura di mitigazione richiede in realtà che tu abbia un reparto IT che è a conoscenza di questo problema e un’azienda con una forza tale da scomodare gli utenti a ricordare un’altra password per poter avviare la macchina. E proprio questi motivi, quindi il dover disturbare gli utenti e l’avere un dipartimento IT che gestisca attivamente i dispositivi, fa presagire che questo possa accadere solo in un ambiente aziendale con requisiti di sicurezza elevati,” ha spiegato Olle a Janne Kauhanen, conduttrice di Cyber Security Sauna.
Sean Sullivan, Security Advisor di F-Secure, sostiene che le aziende dovrebbero seguire l’esempio di F-Secure configurando i notebook per includere l’ibernazione come opzione di spegnimento in modo che i dipendenti sappiano che è disponibile. Informazioni su come farlo sono disponibili sul sito Web di Microsoft.
“L’ibernazione non è in realtà un’opzione predefinita nel menu di chiusura di Windows 10. Gli utenti esperti potrebbero capire come usarlo, ma dubito che il tuo lavoratore in remoto lo sappia fare”, dice Sean. “La ricerca di Olle ha spinto il nostro CISO e il reparto IT a valutare le impostazioni di alimentazione predefinite dei nostri notebook e a migliorarle. È il tipo di piccolo cambiamento proattivo che può contribuire a migliorare l’igiene della sicurezza senza causare molti disagi, quindi consigliamo ad altre aziende di fare lo stesso con i loro notebook, soprattutto per le organizzazioni con dipendenti che viaggiano frequentemente con i loro computer di lavoro.”
Olle raccomanda inoltre alle organizzazioni di avere un piano di risposta agli incidenti per sapere come gestire i dispositivi persi o rubati e di informare i dipendenti su come tenere fisicamente i loro notebook protetti (leggi la Guida di F-Secure sugli attacchi evil maid per ulteriori informazioni sulla protezione dei notebook dagli attacchi fisici).
Categorie