Firmware-sårbarhed i moderne bærbare computere afslører krypteringsnøgler

Eksperter siger, at de nuværende sikkerhedsforanstaltninger ikke er nok til at beskytte data i mistede eller stjålne bærbare computere

iAmMrRob / Pixabay

Konsulenter fra cybersikkerhedsudbyderen F-Secure har opdaget en svaghed i moderne computere, som angribere kan bruge til at stjæle krypteringsnøgler og anden følsom information. Opdagelsen har tvunget konsulenterne til at advare pc-leverandører og brugere om, at de nuværende sikkerhedsforanstaltninger ikke er nok til at beskytte data i tabte eller stjålne bærbare computere.

Angribere har brug for fysisk adgang til computeren, før de kan udnytte svagheden, men F-Secures Principal Security Consultant, Olle Segerdahl, siger, at opnår man dette, så kan en angriber udføre angrebet på cirka fem minutter.

“Typisk er organisationer ikke klar til at beskytte sig mod en angriber, der fysisk er i besiddelse af en virksomhedscomputer. Og når du har et sikkerhedsproblem, der findes i enheder fra større pc-leverandører, som eksempelvis den svaghed, som mit team har lært at udnytte, skal du antage, at mange virksomheder har et svagt led i deres sikkerhed, som de ikke er fuldt bevidste om eller klar til at håndtere,” siger Segerdahl.

Sårbarheden tillader angribere med fysisk adgang til en computer at udføre et såkaldt cold boot-angreb – et angreb, der har været kendt for hackere siden 2008. Cold boot-angreb indebærer genstart af en computer uden at følge en ordentlig nedlukningsproces og derefter genoprette data, der stadig er kortvarigt tilgængelige i computerens RAM efter, at strømmen er slukket.

Moderne bærbare computere overskriver nu RAM specifikt for at forhindre angribere i at bruge cold boot-angreb til at stjæle data. Men Segerdahl og hans team opdagede en måde at deaktivere overskrivingsprocessen og genaktivere det årti gamle cold boot-angreb.

“Det tager nogle ekstra trin i forhold til det klassiske cold boot-angreb, men det er effektivt mod alle de moderne bærbare computere, vi har testet. Og da denne type trussel primært er relevant i scenarier, hvor enheder bliver stjålet, er det den slags ting, en angriber vil have god tid til at udføre,” forklarede Segerdahl.

Angrebet udnytter det faktum, at firmwareindstillingerne, der styrer ​​bootprocessen, ikke er beskyttet mod manipulation fra en fysisk angriber. Ved hjælp af et simpelt hardwareværktøj kan en hacker omskrive den hukommelseschip, der indeholder disse indstillinger, deaktivere hukommelseoverskrivning og aktivere opstart fra eksterne enheder. Cold boot-angrebet kan derefter udføres ved at starte et specielt program fra en USB-nøgle.

“Fordi dette angreb virker mod den type bærbare computere, der anvendes af virksomheder, er der ingen pålidelig måde for organisationer at vide, at deres data er sikre, hvis en computer mangler. Og da 99 procent af bærbare computere vil indeholde ting som adgangsoplysninger til virksomhedernes netværk, giver det angriberne en konsekvent og pålidelig måde at kompromittere virksomhederne på,” siger Segerdahl. “Der er heller ikke nogen nem løsning på dette problem, så det er en risiko som virksomhederne skal adressere på egen hånd.”

Segerdahl har delt sit teams forskning med Intel, Microsoft og Apple for at hjælpe computer-industrien med at forbedre sikkerheden for nuværende og fremtidige produkter.

Fordi Segerdahl ikke forventer en øjeblikkelig løsning fra branchen, anbefaler han, at virksomheder forbereder sig på disse angreb. En måde er at konfigurere bærbare computere til automatisk at lukke ned/gå i dvale i stedet for at gå i sleep mode og kræve, at brugerne indtaster Bitlocker-PIN’en, når som helst Windows starter op eller gendanner. Uddannelse af medarbejdere i forebyggelse af cold boot-angreb, især ledere og medarbejdere, der rejser, er også vigtig. Og it-afdelingerne skal have en incident- & response-plan, der er klar til at håndtere bærbare computere, der forsvinder.

“En hurtigt respons, der ugyldiggør adgangsoplysninger, vil gøre stjålne bærbare computere mindre værdifulde for angribere. IT-sikkerheds- og incident response-teams skal øve dette scenario og sørge for, at virksomhedens arbejdsstyrke ved, at de straks skal underrette IT, hvis en enhed går tabt eller bliver stjålet,” rådgiver Segerdahl. “Planlægning af disse begivenheder er en bedre praksis end at antage, at enheder ikke kan blive fysisk kompromitteret af hackere, fordi det naturligvis ikke er tilfældet.”

Læs også:

Millioner af kinesiske smartphones kan være infice... Ifølge sikkerhedsfirmaet BullGuards blog, så er den gal med et imponerende stort antal smartphones produceret i Kina. Det er ikke producenterne selv d...
Danske firmaer kæmper med EU’s databeskyttel... It-sikkerhedsvirksomheden Bitdefender foretog i foråret 2017 en stor europæisk undersøgelse, hvor sikkerhedsansvarlige i virksomheder med 1000+ comput...

Del artiklen på

Om Lars Bennetzen (1915 Articles)
Lars Bennetzen har været it- og gadget-journalist siden 1992, og arbejdet som redaktør på PC World, Ingeniøren, Jern- og Maskinindustrien, Procesteknik og Ugens Erhverv. I 2006 blev Lars Chefredaktør på Alt om DATA, og bestyrede det gode gamle it-blad gennem de næste 6 år. I 2012 blev Lars selvstændig og stiftede firmaet Blackbelt Communications og i 2015 startede han Tech-Test. Lars fungerer også som kommunikationskonsulent, taler, moderator og gadgetekspert.
Kommentar til artiklen?