Se avete l’abitudine di lasciare il vostro computer incustodito durante le pause, sappiate che da oggi il rischio che correte non è solo che qualcuno possa rubarvelo. Se avete la sfortuna di incontrare un pirata informatico che sa il fatto suo, infatti, potrebbe essere in grado di rubare informazioni riservate nel giro di una manciata di minuti.
A lanciare l’allarme sulla nuova tecnica di attacco è F-Secure, che ha reso pubblico uno studio in cui descrive una variante di un vecchio attacco hacker. Si chiama Cold Boot ed è una tecnica conosciuta da anni, che sfrutta la possibilità di rubare informazioni da un PC “estraendole” dalla memoria RAM.
La buona notizia è che per portare a termine l’operazione è necessario avere accesso fisico a un computer acceso o in stato di sospensione. La cattiva notizia è che, tutto sommato, le situazioni in cui questo potrebbe avvenire non sono poi così rare, soprattutto nel caso in cui si stia parlando di PC aziendali e di cyber-criminali particolarmente “motivati”.
In un attacco Cold Boot, in pratica, si forza la macchina a spegnersi agendo sul pulsante del dispositivo, evitando che segua quindi il processo normale di spegnimento. In questo modo è possibile recuperare i dati che rimangono accessibili per breve tempo nella RAM dopo che l’alimentazione è cessata.
Nei moderni computer il problema è stato risolto predisponendo un sistema che sovrascrive la memoria al momento dello spegnimento, ma Olle Segerdahl e il suo team hanno scoperto un modo per disabilitare il processo di sovrascrittura e rimettere in gioco il vecchio attacco.
Le impostazioni del firmware che governano il comportamento del processo di avvio, spiega Segerdhal, non sono protette contro la manipolazione di un attaccante fisico. Con un semplice strumento hardware, un attaccante può riscrivere il chip della memoria non-volatile che contiene queste impostazioni, disabilitare la sovrascrittura della memoria e abilitare il riavvio tramite dispositivi esterni. L’attacco Cold Boot può quindi essere eseguito avviando un programma speciale da una chiavetta USB.
Chi dovesse metterci sopra le mani in quelle condizioni potrebbe portare un attacco Cold Boot e rubare, per esempio, le credenziali contenute nella memoria RAM. Questo non succede invece se si utilizza l’ibernazione, che svuota la RAM e copia i dati su disco.
“Poiché questo attacco funziona nei confronti dei notebook usati nelle aziende, non esiste per le organizzazioni un modo affidabile per sapere che i loro dati sono al sicuro se un computer scompare. E dato che il 99% dei computer aziendali conterranno informazioni come le credenziali di accesso alle reti aziendali, ciò offre agli attaccanti un modo affidabile e consistente per compromettere le aziende” ha sottolineato Segerdahl. “Non c’è una soluzione semplice per questo problema, quindi è un rischio che le aziende dovranno affrontare da sole.”
“Tipicamente le organizzazioni non sono preparate a proteggersi da un attaccante che sia venuto in possesso di un computer aziendale. E quando una problematica di sicurezza viene rilevata in dispositivi prodotti dai maggiori vendor di computer, come la vulnerabilità che il mio team ha saputo sfruttare, ci si deve aspettare che molte aziende abbiano un punto debole nella loro sicurezza di cui non sono pienamente consapevoli o non sono preparate ad affrontare,” conclude Segerdahl.
Il consiglio è di prepararsi a questo tipo di attacchi, per esempio configurando i notebook affinché si spengano automaticamente o si ibernino, invece di entrare nella modalità sleep, e richiede che gli utenti inseriscano il PIN Bitlocker ogni volta che Windows riparte o si ripristina.
F-Secure ha condiviso la ricerca del suo team con Intel, Microsoft e Apple per aiutare l’industria dei PC a migliorare la sicurezza dei prodotti attuali e futuri.
Nessun commento:
Posta un commento