Af Rasmus Elm Rasmussen, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
Angribere har brug for fysisk adgang til computeren, før de kan udnytte svagheden, men F-Secures Principal Security Consultant, Olle Segerdahl, siger, at opnår man dette, så kan en angriber udføre angrebet på cirka fem minutter.
"Typisk er organisationer ikke klar til at beskytte sig mod en angriber, der fysisk er i besiddelse af en virksomhedscomputer. Og når du har et sikkerhedsproblem, der findes i enheder fra større pc-leverandører, som eksempelvis den svaghed, som mit team har lært at udnytte, skal du antage, at mange virksomheder har et svagt led i deres sikkerhed, som de ikke er fuldt bevidste om eller klar til at håndtere,” siger Segerdahl.
Gammelt trick
Sårbarheden tillader angribere med fysisk adgang til en computer at udføre et såkaldt cold boot-angreb - et angreb, der har været kendt for hackere siden 2008. Cold boot-angreb indebærer genstart af en computer uden at følge en ordentlig nedlukningsproces og derefter genoprette data, der stadig er kortvarigt tilgængelige i computerens RAM efter, at strømmen er slukket.
Moderne bærbare computere overskriver nu RAM specifikt for at forhindre angribere i at bruge cold boot-angreb til at stjæle data. Men Segerdahl og hans team opdagede en måde at deaktivere overskrivingsprocessen og genaktivere det årti gamle cold boot-angreb.
"Det tager nogle ekstra trin i forhold til det klassiske cold boot-angreb, men det er effektivt mod alle de moderne bærbare computere, vi har testet. Og da denne type trussel primært er relevant i scenarier, hvor enheder bliver stjålet, er det den slags ting, en angriber vil have god tid til at udføre,” forklarede Segerdahl.
Forsvaret går ned
Angrebet udnytter det faktum, at firmwareindstillingerne, der styrer bootprocessen, ikke er beskyttet mod manipulation fra en fysisk angriber. Ved hjælp af et simpelt hardwareværktøj kan en hacker omskrive den hukommelseschip, der indeholder disse indstillinger, deaktivere hukommelseoverskrivning og aktivere opstart fra eksterne enheder. Cold boot-angrebet kan derefter udføres ved at starte et specielt program fra en USB-nøgle.
"Fordi dette angreb virker mod den type bærbare computere, der anvendes af virksomheder, er der ingen pålidelig måde for organisationer at vide, at deres data er sikre, hvis en computer mangler. Og da 99 procent af bærbare computere vil indeholde ting som adgangsoplysninger til virksomhedernes netværk, giver det angriberne en konsekvent og pålidelig måde at kompromittere virksomhederne på,” siger Segerdahl. "Der er heller ikke nogen nem løsning på dette problem, så det er en risiko som virksomhederne skal adressere på egen hånd."
Uddannelse er afgørende
Segerdahl har delt sit teams forskning med Intel, Microsoft og Apple for at hjælpe computer-industrien med at forbedre sikkerheden for nuværende og fremtidige produkter. Fordi Segerdahl ikke forventer en øjeblikkelig løsning fra branchen, anbefaler han, at virksomheder forbereder sig på disse angreb. En måde er at konfigurere bærbare computere til automatisk at lukke ned/gå i dvale i stedet for at gå i sleep mode og kræve, at brugerne indtaster Bitlocker-PIN'en, når som helst Windows starter op eller gendanner. Uddannelse af medarbejdere i forebyggelse af cold boot-angreb, især ledere og medarbejdere, der rejser, er også vigtig. Og it-afdelingerne skal have en incident- & response-plan, der er klar til at håndtere bærbare computere, der forsvinder.
"En hurtigt respons, der ugyldiggør adgangsoplysninger, vil gøre stjålne bærbare computere mindre værdifulde for angribere. IT-sikkerheds- og incident response-teams skal øve dette scenario og sørge for, at virksomhedens arbejdsstyrke ved, at de straks skal underrette IT, hvis en enhed går tabt eller bliver stjålet,” rådgiver Segerdahl. "Planlægning af disse begivenheder er en bedre praksis end at antage, at enheder ikke kan blive fysisk kompromitteret af hackere, fordi det naturligvis ikke er tilfældet."
Segerdahl og hans kollega, Security Consultant hos F-Secure, Pasi Saarinen, er planlagt til at præsentere forskningen på SEC-T konferencen i Sverige den 13. september og igen på Microsofts BlueHat v18 konferencen i USA den 27. september.
