De schrikbarende realiteit rond cold boot-aanvallen
Wat doe je nadat je klaar bent met werken op je laptop? Zet je hem uit? Zet je hem in de slaapstand? Of klap je hem simpelweg dicht en loop je weg?
Veel gebruikers realiseren zich niet dat het onbeheerd achterlaten van hun laptop vanuit beveiligingsoogpunt een ernstige misstap is. Zelfs als de harde schijf volledig is versleuteld.
“De slaapstand is een kwetsbare stand”, zegt Olle Segerdahl, principal security consultant bij F-Secure.
Olle en zijn collega-beveiligingsconsultant Pasi Saarinen ontdekten kort geleden een nieuwe manier om laptops fysiek te hacken. Volgens hun onderzoek werkt deze methode in combinatie met vrijwel elke moderne laptop, ook die van ‘s werelds grootste fabrikanten, zoals Dell, Lenovo en zelfs Apple.
Omdat deze systemen wereldwijd worden gebruikt, deelden Olle en Pasi hun onderzoeksresultaten met fabrikanten zoals Microsoft, Apple en Intel en maakten ze die publiek. Het duo presenteert hun bevindingen tijdens het SEC-T-congres in Zweden op 13 september en op 27 september tijdens het BlueHat v18-congres van Microsoft in de V.S.
Beide presentaties zullen live worden gestreamd. Wil je nu al weten wat de reden voor al deze ophef is? Lees dan verder.
Het komt erop neer dat Olle en Pasi een kwetsbaarheid hebben ontdekt in de manier waarop computers hun firmware beschermen. De onderzoekers zeggen dat hackers met fysieke toegang tot een laptop deze kwetsbaarheid kunnen misbruiken om een cold boot-aanval uit te voeren. Daarmee kunnen ze encryptiesleutels en andere gevoelige informatie buitmaken.
Cold boot-aanvallen zijn niets nieuws. Ze werden in 2008 door een onderzoeksgroep ontwikkeld. De onderzoekers kwamen tot de volgende conclusie: als een computer werd gereset zonder de juiste procedures te volgen (iets wat een koude/harde reboot wordt genoemd) konden ze toegang krijgen tot de informatie die kortstondig in het RAM-geheugen achterbleef nadat de stroom was uitgeschakeld.
Sindsdien zijn er beveiligingsmechanismen ontwikkeld om cold boot-aanvallen minder effectief te maken. Een daarvan werd bedacht door de Trusted Computing Group (TCG). Dit mechanisme zorgt ervoor dat het RAM-geheugen wordt overschreven zodra de computer opnieuw wordt ingeschakeld.
En dat is waar het onderzoek van Olle en Pasi om de hoek komt kijken. De twee beveiligingsexperts bedachten een manier om deze overschrijffunctie uit te schakelen door de hardware van de laptop fysiek te manipuleren. Met behulp van een simpele tool slaagden Olle en Pasi erin om de niet-volatiele geheugenchip met de instellingen voor het overschrijven van het RAM-geheugen te herprogrammeren, zodat de functie ongedaan werd gemaakt. Vervolgens konden ze een cold boot-aanval uitvoeren door het systeem op te starten vanaf een speciaal programma op een USB-stick.
Cold boot-aanvallen worden meestal door hackers gebruikt om encryptiesleutels te bemachtigen. Maar in feite kunnen ze toegang tot alle mogelijke informatie krijgen. Wachtwoorden, aanmeldingsgegevens voor bedrijfsnetwerken en alle data op de harde schijf: niets is veilig.
Maar het wordt nog erger…
Hoewel het moeilijk is om cold boot-aanvallen uit te voeren omdat daar speciale tools én toegang tot het systeem voor nodig zijn, is dit een welbekende techniek onder hackers. De door Olle en Pasi ontwikkelde aanval kan met succes worden uitgevoerd op vrijwel alle moderne laptops. Dat betekent dat hackers over een consistente en betrouwbare manier beschikken om toegang te krijgen tot systemen en data.
“Het is niet bijster eenvoudig om deze aanval uit te voeren, maar deze kwetsbaarheid is evenmin moeilijk om te spotten en misbruiken. De kans bestaat dan ook dat sommige cybercriminelen hier reeds achter zijn gekomen”, zegt Olle. “Het is geen aanval die zal worden gebruikt door hackers die naar een makkelijke prooi op zoek zijn. Maar het is wel het soort techniek dat zal worden gehanteerd door hackers die op zoek zijn naar een grotere vis, zoals een bank of multinational.”
Olle denkt dat er geen makkelijk antwoord beschikbaar is voor fabrikanten van pc’s en laptops. Bedrijven en eindgebruikers zullen daarom zelf een oplossing voor dit probleem moeten bedenken.
… maar er is ook goed nieuws
Olle en Pasi hebben hun onderzoeksresultaten gedeeld met Microsoft, Intel en Apple. Alle drie bedrijven zijn momenteel bezig met het verkennen van maatregelen voor risicoreductie om aan hun klanten aan te bieden. Olle en Pasi hebben Microsoft daarnaast geholpen met het herzien van zijn aanbevelingen inzake het treffen van tegenmaatregelen met Bitlocker. En volgens Apple bevatten Mac’s met een Apple T2-chip beveiligingsfuncties die deze systemen beschermen tegen de door Olle en Pasi ontdekte aanvalstechniek. Apple raadt gebruikers daarnaast aan om een firmware-wachtwoord in te stellen om de beveiliging van Mac’s zonder T2-chip kracht bij te zetten.
Volgens Olle is het uiteindelijk aan fabrikanten om de beveiliging van hun pc’s en laptops te versterken om die veilig te houden tegen dit soort aanvallen. Tegelijkertijd geeft hij toe dat het niet makkelijk zal zijn om op korte termijn met een oplossing te komen.
“Als je nagaat hoeveel computers van verschillende bedrijven er worden gebruikt en hoe moeilijk het is om eindgebruikers te overtuigen van het belang om hun systeem bij te werken met de laatste updates, zul je begrijpen hoe moeilijk het is om dit probleem op te lossen. Dit vraagt om een gecoördineerde reactie van de ICT-sector, en dat is niet iets wat van de ene dag op de andere zal gebeuren”, zegt Olle. “Ondertussen moeten bedrijven zelf beschermende maatregelen treffen.”
Bedrijven zullen er moeite mee hebben om een betrouwbare manier te vinden om een cold boot-aanval te blokkeren wanneer een hacker met de juiste knowhow een laptop in handen krijgt. Bedrijven kunnen laptops echter zodanig configureren dat een hackers die een cold boot-aanval uitvoeren niets van waarde in het RAM-geheugen zullen aantreffen.
Hibernation + pre-boot authentication is the best protection against cold boot attacks. No keys in memory to steal!
— olle@WithSecure (@olle_withsecure) September 4, 2018
Olle en Pasi raden IT-afdelingen aan om alle routers binnen de organisatie te configureren om zichzelf uit te schakelen of in de sluimerstand (in plaats van slaapstand) te zetten. Verder is het belangrijk dat gebruikers elke keer dat ze hun computer inschakelen of herstellen naar hun Bitlocker-pincode worden gevraagd. Dit is met name belangrijk voor managers met toegang tot gevoelige informatie en medewerkers die veel reizen, en daarmee een grotere kans maken om hun laptop in een hotelkamer, taxi, restaurant of luchthaven achter te laten.
Hackers kunnen nog altijd een succesvolle cold boot-aanval uitvoeren op systemen die op deze manier zijn geconfigureerd. Maar op deze manier worden er geen encryptiesleutels in het RAM-geheugen opgeslagen wanneer een systeem in de sluimerstand gaat of wordt uitgeschakeld. En daarmee blijft er geen waardevolle informatie voor hackers achter.
Een andere beveiligingsmaatregel is om bedrijven en hun personeel voor te lichten over deze aanvalstechniek.
“Soms is de meest effectieve manier om een beveiligingsprobleem aan te pakken om mensen simpelweg te laten weten dat het bestaat. Een beetje bewustwording kan wonderen doen”, zegt Olle.
Ten slotte raadt Olle bedrijven aan om een incidentresponsplan op te stellen.
“Een snelle reactie waarbij alle aanmeldingsgegevens worden ingetrokken zal gestolen laptops minder waardevol maken voor hackers. Teams die zich bezighouden met security en incidentrespons zullen met dit soort scenario’s moeten oefenen. Daarnaast is het belangrijk dat het personeel de IT-afdeling direct op de hoogte stelt als een systeem zoekraakt of wordt gestolen”, aldus Olle. “Het is beter om je op dergelijke incidenten voor te bereiden dan ervan uit te gaan dat apparaten niet fysiek door hackers kunnen worden benaderd. Want dat is een absolute misvatting.”
Categorieën