24 Agosto 2018
Computer nuovamente a rischio attacco a causa di una falla all’interno dei firmware. A rivelare il pericolo è la società esperta in cyber-sicurezza F-Secure, che dichiara come gli hacker possano rubare chiavi di crittografia e dati personali in appena 5 minuti. I risultati dello studio sono stati presentati ieri alla conferenza SEC-T in Svezia, e verranno mostrati negli Stati Uniti il prossimo 27 settembre.
Sembra comunque che il rischio sia “limitato” solamente nei casi in cui il computer venga rubato o sia lasciato incustodito (attenzione alla pausa pranzo negli uffici!), visto che l’attacco può essere completato con successo unicamente attraverso l’accesso fisico al dispositivo (è vulnerabile anche se è in modalità sleep). F-Secure fa esplicito riferimento ai laptop, in quanto sono la tipologia di prodotto che può essere più facilmente soggetta a furti e smarrimenti, ma la falla riguarda ovviamente anche i PC desktop.
La metodologia utilizzata dai malintenzionati sembra colpire la stragrande maggioranza dei dispositivi, inclusi quelli realizzati da Lenovo, Dell e Apple. L’attacco Cold Boot sfrutta una falla nei sistemi di crittografia per rubare i dati memorizzati su hard disk o SSD cifrati. Tornano di moda dunque gli attacchi Cold Boot? Sviluppati nel lontano 2008, si basano su una tecnica che sfrutta la possibilità di impossessarsi dei dati personali salvati su una macchina ricavandoli direttamente dalla memoria RAM una volta che il computer è stato spento in modo forzato. Così, infatti, sulla RAM rimangono “impressi” i dati per un certo periodo di tempo, permettendo all’hacker di estrarli con relativa facilità.
Per fortuna, come si diceva, affinché l’attacco funzioni serve che l’hacker riesca ad avere accesso fisico al laptop. Non solo: il computer deve essere acceso ed essere ancora alimentato. Sui computer più recenti è presente un sistema per sovrascrivere la memoria una volta che il dispositivo viene spento, ma il reboot forzato consente di bypassare la protezione disabilitando la funzionalità che permette la sovrascrittura, accedendo così ai dati impressi sulla RAM per ottenere le chiavi di crittografia ed entrare senza troppa fatica all’interno della memoria di archiviazione. Basta un software salvato su una chiavetta USB per eseguire un attacco Cold Boot.
Sono diversi i consigli forniti da F-Secure per ridurre al minimo il rischio, così come comunicato ai principali produttori di laptop: evitare ad esempio di configurare la macchina in modo tale che non entri in modalità sleep ma si spenga o si iberni, o prevedere che gli utenti inseriscano il PIN Bitlocker tutte le volte in cui il sistema operativo esegue un reboot o riparte.
“L'ibernazione + l'autenticazione pre-boot è la migliore protezione contro gli attacchi cold boot. Nessuna chiave in memoria da rubare!”, suggerisce Olle Segerdahl di F-Secure.
Hibernation + pre-boot authentication is the best protection against cold boot attacks. No keys in memory to steal!
— olle@nxs.se (@nxsolle) 4 settembre 2018
Commenti
Non se si blocca.
Ma di recente Thunderbird mi ha sorpreso.
Se mentalmente flessibili, meglio passare ad altro .. in particolare Outlook e vergognoso
the "evil maid attack"
Non quelli con t2. Leggi le fonti. Non fermarti alle notizie incomplete di qui
Assurdo.
Cose da matti. La Microsoft non ne combina mai una giusta
Non credo siano la stessa cosa. in windows, anche prima del 10, sospendi e iberna sono due cose distinte.
2016, ma il divertente che si sono installate, non so come, OGGI, tutte patch dell'Office 2007.
Hanno bloccato completamente il 2016!
Outlook non andava più, ne Word e compagnia bella.
Disinstallati solo una parte è tornata a funzionare, ma solo il 2007!
Outlook (il client) su cui avevano la posta bloccato ancora.
Quindi prima di una reinstallazione globale del pacchetto, li ho indirizzati sulla posta web che funziona sempre.
Office 360 o 2016?
in riferimento al commento di Twitter, "Hibernation" e sleep mode sono sinonimi in Windows 10 (se usate la lingua inglese, hibernation è il nostro sospendi/standby)
senza dimenticarsi di lavare la felpa col cappuccio, che le serve per il prossimo hack
E il tutto prima che la lavatrice finisca il lavaggio, così poi fa anche in tempo a stendere il bucato
a parte i tuoi problemi di vista (o di analfabetismo) dici?
Sono vulnerabili anche i Macbook... leggi.
Per difendere da cold boot usate bereto di lana, guanto, mascchera neri come foto
ma vaaa che scoperta
ma poi basta riavviarlo, il problema è solo con lo standby to ram
comodo.
sì ma capisci che gli scenari di azione sono un filino limitati?
Se uno ha accesso libero al luogo in cui uso il PC, la cosa di gran lunga più semplice è lasciare nascosto uno smartphone o analoga microspia che registra i suoni.
Con un algoritmo di learning si riesce a capire tutti i tasti che pigi (ognuno ha un suono diverso) e quindi ti becca tutte le password che digiti.
Sta cosa della RAM congelata serve alle teste vi cuoi che fanno irruzione in qualche target particolare che si premura di staccare la spina.
puoi riuscire a riprendere lo standby to ram anche dopo aver staccato la spina, dopo qualche secondo ancora la RAM è impressa (parlo di desktop, senza batteria)
Di mèrdà.
riavviare e lanciare memtest
Confermo. Fantastica giornata.
Me la vedo la donna delle pulizie che apre il case, congela la RAM, indossa una felpa con un cappuccio, infila una chiavetta USB e poi comincia a digitare comandi da shell Linux.