Computer kriminelle er konstant på udkig vores efter måder at inficere computersystemer på fri fod. En nylig sikkerhed revision har afsløret, at hackere bruger en 2008 koldstart angreb som stadig findes i moderne computere fra alle de store leverandører. Sårbarheden udnytter det faktum, at fysisk adgang til maskinerne giver mulighed for udførelsen af den kolde boot angreb.
2008 Kolde Boot Attack brugt mod moderne computere
En ny sikkerhedsrapport afslører, at mange computere er stadig sårbar over for en bug kendt som 2008 koldstart angreb, da det blev opdaget, at år. Dette er en mekanisme, der tillader hackere med fysisk adgang til klientmaskinerne at omgå sikkerhedsmekanismer og adgang til den lagrede hukommelse, når maskinen er slukket. Rapporten viser, at mange enheder er berørt, blandt dem pc'er og Mac-computere fra leverandører som Apple, Dell og Lenovo.
I det væsentlige angrebet tillader kriminelle at kapre krypteringsnøglerne af maskiner, de har vist sig at kortvarigt lagres i hukommelsen efter en hård genstart er lavet. Af den initiale opdagelse af udnytte sælgerne tilsat en beskyttelsesforanstaltning via Trusted Computing Group (TCG) chip, som er bygget ind i bundkort. Det følger en sikkerhed princip, der er blevet oprettet for at beskytte mod den slags angreb. Men ligesom ethvert system kan det let blive brudt ind. Et team af sikkerhedseksperter giver indsigt i, hvordan dette kan opnås.
Den opdagede svaghed er relateret til det faktum, at moderne maskiner udføre kontroller med henblik på at opdage, hvis de er blevet lukket ned på den rigtige måde. En specifik “flag” er sat op for at beskytte data i hukommelsen, hvis en ordentlig nedlukning ikke har været fuldstændig. Konsekvensen af dette er oprydningen af følsomme data fra hukommelsen. Manipulation af denne kontrol kan udsætte krypteringsnøgler. Dette kan gøres ved at få adgang til hukommelseschip direkte.
Proof-of-concept teknik benyttes til at initiere koldstart angreb er dokumenteret i den følgende sekvens:
- Hackerne bliver nødt til at tilegne sig fysisk adgang til maskinerne.
- Ved hjælp af et værktøj, de bliver nødt til at overskrive den ikke-flygtige TCG chip og deaktivere hukommelsen overskrive at tillade opstart fra eksterne enheder.
- Den kolde boot angreb initieres ved anvendelse af et særligt hjælpeprogram placeret på en flytbar USB-lagerenhed.
Et af kendetegnene er, at koldstart angreb er tidsafhængig, hackere bliver nødt til at reagere så hurtigt som muligt efter nedlukning. Afhængig af de enkelte edb betingelser proof-of-concept forsøg lykkedes foretaget i fem til ti sekunder. Microsoft erklærede, at de anbefaler computerbrugere til at bruge en enhed med en diskret TPM-modul, deaktivere søvn & dvale strømstyring og konfigurere BitLocker til at bruge PIN-baseret godkendelse.
Apple reagerede med angivelse af, at deres T2 chips beskytte mod disse angreb. Mac-computere uden det bør oprette en firmware adgangskode.