Pubblicato il 13 settembre 2018 da Redazione
Un brivido percorre la schiena dei possessori di notebook. Dopo la scoperta delle vulnerabilità Spectre e Meltdown, una nuova possibile minaccia si affaccia all’orizzonte per i moderni portatili. Individuato dalla società di cybersecurity finlandese F-Secure, il bug può essere sfruttato con un attacco di tipo cold boot. Con questa strategia si forza lo spegnimento del dispositivo utilizzando il pulsante fisico, per recuperare i dati che rimangono accessibili nella Ram prima che l’assenza di energia provveda a eliminare fisicamente le informazioni presenti in memoria. Per portare a termine con successo l’attacco, è però necessario mettere le mani sulle macchine. Il che riduce sensibilmente il rischio. Ma il tesoro potenziale di dati che potrebbe essere trafugato dai pirati informatici è enorme.
Come si esegue l’assalto? I notebook più recenti codificano la Ram dopo lo spegnimento per impedire proprio il ricorso a una strategia cold boot, ma il team guidato da Olle Segerdahl, principal security consultant di F-Secure, ha scoperto un modo per disattivare questo processo di riscrittura e consentire quindi il furto di informazioni a computer spento.
Per accedere alla memoria è necessario disporre di uno strumento hardware aggiuntivo, che permette all’hacker di modificare le impostazioni del firmware che governano il processo di avvio, generalmente non protette dalla manipolazione di un attaccante fisico. Una volta disabilitata la sovrascrittura della Ram e attivato il riavvio tramite dispositivi esterni, si può eseguire il boot da un drive Usb.
“Serve aggiungere qualche passaggio rispetto al classico attacco cold boot, ma è efficace contro tutti i notebook moderni che abbiamo testato”, ha spiegato Segerdahl. “E dal momento che questo tipo di minaccia è rilevante soprattutto negli scenari in cui i laptop vengono rubati o presi in modo illecito, un hacker avrà tutto il tempo necessario per eseguire la procedura”.
Una volta penetrati nella memoria, i malintenzionati potrebbero leggere una serie di dati di fondamentale importanza, come le chiavi crittografiche dei dischi e le credenziali di accesso alla rete aziendale. Questo tipo di attacco vanifica infatti anche la presenza di strumenti come Bitlocker e Filevault, utilizzati dalle imprese per cifrare i drive presenti nei computer. Il problema principale è che difficilmente arriveranno risposte in tempi brevi dai vendor.
L'attacco cold boot descritto da F-Secure
F-Secure ha condiviso i dettagli della ricerca con Intel, Microsoft e Apple. La prima società non ha ancora commentato la notizia, mentre le altre due avrebbero minimizzato la questione, anche perché a livello software si può fare ben poco. L’unica soluzione, come già successo per Spectre e Meltdown, sarebbe rivedere in profondità il ruolo del firmware dopo lo spegnimento forzato delle macchine. E in questo caso soltanto Intel potrebbe dare una risposta.
Secondo Microsoft, per ridurre i rischi gli utilizzatori di Bitlocker possono ricorrere a un Pin da inserire a ogni riavvio o ripristino di Windows. Ma si tratta di una scappatoia che potrebbe salvare solo gli utenti aziendali, perché l’utility non è disponibile per le licenze Home di Windows. Sono inoltre immuni tutti i Macbook dotati di chip T2, sviluppato appositamente per aumentare la sicurezza dei sistemi della Mela.
L’unico modo per evitare fughe indesiderate di informazioni è quello di evitare che le macchine finiscano in mani sbagliate. “I team di It security e incident response dovrebbero […] assicurarsi che i dipendenti dell'azienda sappiano notificare immediatamente all'It quando un dispositivo viene perso o rubato”, ha concluso Segerdahl. La prevenzione, quindi, è ancora l’arma migliore.
MERCATI
NEWS