Veel gebruikers denken dat hun laptop veilig is als zij alle data op de harde schijf hebben versleuteld, ook als het systeem in de verkeerde handen valt. Maar niets is minder waar. Twee beveiligingsconsultants van F-Secure bezorgden CISO’s, computerfabrikanten en beveiligingsprofessionals een paar weken geleden koude rillingen met de onthulling van een kwetsbaarheid die computersystemen vatbaar maakt voor cold boot-aanvallen.
In de onderstaande video laten Olle Segerdahl en Pasi Saarinen van F-Secure zien hoe er misbruik van deze kwetsbaarheid kan worden gemaakt.
Voor meer informatie over deze kwetsbaarheid kun je deze blogpost lezen of naar deze podcast luisteren. Volgens Olle en Pasi is de moraal van het verhaal dat de slaapstand van computers niet veilig is.
“De slaapstand is een kwetsbare stand”, waarschuwt Olle.
Wanneer een computer de slaapstand ingaat, blijft er informatie in het RAM-geheugen aanwezig. Dat kan om uiterst gevoelige informatie gaan, zoals encryptiesleutels. Cybercriminelen kunnen deze informatie met een succesvolle cold boot-aanval ophalen uit een computer die in de slaapstand verkeert.
En zodra hackers de encryptiesleutels hebben bemachtigd, is het slechts een kwestie van tijd voordat ze het systeem binnendringen. Veel organisaties lopen het risico dat cybercriminelen op deze manier aanmeldingsgegevens bemachtigen en daarmee de sleutels tot de schatkist in handen krijgen.
As long as I can steal it when it is sleep mode, yes.
— olle@nxs.se (@nxsolle) September 4, 2018
Volgens Olle en Pasi is de beste verdediging om authenticatie voor het opstarten op hun laptops in te stellen. Dat betekent dat er voor het laden van het besturingssysteem eerst een wachtwoord of pincode moet worden ingevoerd om de harde schijf te ontsleutelen. Verder is het belangrijk om laptops volledig uit te schakelen als die een tijdlang niet worden gebruikt. Bedrijven zouden hun laptops zodanig moeten configureren dat die na een periode van inactiviteit in de sluimerstand gaan en als ze weer worden gewekt naar het wachtwoord of de pincode voor het opstarten vragen. Microsoft heeft op basis van input van F-Secure zijn aanbevelingen ten aanzien van dit probleem aangepast. Het bijgewerkte bulletin is hier te vinden.
De sluimerstand is niet binnen handbereik.
Er zijn echter een paar kanttekeningen op zijn plaats. Ten eerste biedt de Home Edition van Windows 10 geen optie om een Bitlocker-pincode in te stellen. Als je bang bent dat een hacker fysieke toegang tot je laptop krijgt, zou je dus moeten upgraden naar Windows 10 Pro.
Het is ook maar de vraag of organisaties de moeite zullen nemen om hun laptops tegen cold boot-aanvallen te beschermen.
“Om deze kwetsbaarheid te verhelpen is het ten eerste nodig dat de IT-afdeling op de hoogte is van het probleem. Daarnaast moet de organisatie bereid zijn om gebruikers te vragen om een extra wachtwoord te onthouden voor het opstarten van het systeem. Niet alle gebruikers zullen dat leuk vinden. En het vraagt ook om een IT-afdeling die computersystemen proactief beheert. Dat is waarschijnlijk alleen het geval in bedrijfsomgevingen waar hoge eisen aan de beveiliging worden gesteld”, zei Olle tegen Janne Kauhanen, de gastheer van de Cyber Security Sauna.
Sean Sullivan, beveiligingsadviseur bij F-Secure, vindt dat bedrijven het voorbeeld van F-Secure zouden moeten volgen door de sluimerstand als optie aan het afsluitmenu van laptops toe te voegen, zodat werknemers weten dat die beschikbaar is. Nadere instructies zijn te vinden op de website van Microsoft.
“De sluimerstand is geen standaardoptie in het afsluitmenu van Windows 10. Power users weten misschien hoe ze er gebruik van kunnen maken, maar ik betwijfel of de gemiddelde zakenreiziger dat weet”, zegt Sean. “Het onderzoek van Olle vormde aanleiding voor het team van onze CISO en de IT-afdeling om de standaardinstellingen voor energiebeheer van onze laptops onder de loep te nemen en die te optimaliseren. Dit een goed voorbeeld van een kleine proactieve ingreep die de beveiliging kracht bijzet zonder voor al teveel overlast te zorgen. We raden andere bedrijven aan om hetzelfde te doen met hun laptops. Dat geldt met name voor organisaties met werknemers die regelmatig reizen met laptops van de zaak.”
Olle raadt organisaties ook aan om een incidentresponsplan op te stellen voor diefstal en het verlies van computersystemen en werknemers te informeren over manieren om hun laptops fysiek te beveiligen. Zie voor meer informatie daarover F-Secures’ Guide to Evil Maid Attacks.
Categorieën