F-Secure ha individuato un punto debole nel firmware dei moderni notebook che mette a rischio la sicurezza delle chiavi di crittografia
Gli esperti di cyber security di F-Secure hanno rivelato di aver scoperto un punto debole nella sicurezza dei computer moderni che gli attaccanti possono sfruttare per rubare le chiavi di crittografia e altre informazioni sensibili.
La scoperta ha spinto i ricercatori di F-Secure ad avvertire i vendor di questi dispositivi e gli utenti che le attuali misure di sicurezza non sono sufficienti per proteggere i dati in notebook smarriti o rubati.
Quello che serve però è che gli attaccanti abbiano accesso fisico al computer. Ma Olle Segerdahl, Principal Security Consultant di F-Secure, spiega che una volta ottenuto l’accesso fisico, un criminale può sferrare con successo l’attacco in circa 5 minuti.
“Tipicamente le organizzazioni non sono preparate a proteggersi da un attaccante che sia venuto in possesso di un computer aziendale. E quando una problematica di sicurezza viene rilevata in dispositivi prodotti dai maggiori vendor di computer, come la vulnerabilità che il mio team ha saputo sfruttare, ci si deve aspettare che molte aziende abbiano un punto debole nella loro sicurezza di cui non sono pienamente consapevoli o non sono preparate ad affrontare,” ha spiegato Segerdahl.
Un attacco alla sicurezza di tipo cold boot
Il punto debole scoperto da F-Secure consente agli attaccanti con accesso fisico al computer di sferrare un attacco di tipo cold boot, noto agli hacker dal 2008. Con gli attacchi cold boot si forza la macchina a spegnersi agendo sul pulsante del dispositivo.
Si evita quindi che segua quindi il processo normale di spegnimento, e si recuperano i dati che rimangono accessibili per breve tempo nella RAM dopo che l’alimentazione è cessata.
I fatto è che i moderni laptop sovrascrivono la RAM per prevenire nello specifico che gli attaccanti utilizzino attacchi cold boot per rubare dati. Tuttavia, Segerdahl e il suo team hanno scoperto un modo per disabilitare il processo di sovrascrittura e rimettere in gioco il vecchio attacco cold boot.
“Serve aggiungere qualche step rispetto al classico attacco cold boot, ma è efficace contro tutti i notebook moderni che abbiamo testato. E dal momento che questo tipo di minaccia è rilevante primariamente in scenari in cui i notebook vengono rubati o presi illecitamente, un attaccante avrà tutto il tempo necessario per eseguire l’attacco,” ha precisato Segerdahl.
Il vulnus nelle impostazioni firmware
L’attacco sfrutta il fatto che le impostazioni del firmware che governano il comportamento del processo di avvio non sono protette contro la manipolazione di un attaccante fisico.
Con un semplice strumento hardware, un attaccante, osserva F-Secure, può riscrivere il chip della memoria non-volatile che contiene queste impostazioni, disabilitare la sovrascrittura della memoria e abilitare il riavvio tramite dispositivi esterni.
L’attacco cold boot può quindi essere eseguito avviando un programma speciale da una chiavetta USB.
Segerdahl ha condiviso la ricerca del suo team con Intel, Microsoft e Apple per aiutare l’industria dei PC a migliorare la sicurezza dei prodotti attuali e futuri.
Segerdahl non si aspetta però una soluzione immediata o in tempi brevi dall’industria, quindi raccomanda alle aziende di prepararsi a questo tipo di attacchi.