Due ricercatori di F-Secure hanno dimostrato la possibilità di estrapolare dati da Mac e PC anche quando le unità disco sono cifrate con tecnologie quali FileVault (macOS) o BitLocker (Windows). La vulnerabilità richiede accesso fisico alla macchina (che limita in ogni caso i potenziali rischi) e, particolare curioso, è che il problema riguarda tutti i computer ad esclusione di iMac Pro e MacBook Pro, computer che integrano il T2, il chip che integra numerosi controller (il controller di gestione del sistema, il processore del segnale immagine, il controller dell’audio e il controller SSD) e che grantisce inoltre un un nuovo livello di sicurezza grazie ad un coprocessore Secure Enclave che costituisce la base per una nuova archiviazione criptata e offre nuove capacità per l’Avvio protetto.
Ma partiamo dall’inizio per spiegare il probema.” Molte persone non sanno che quando lasciano il loro computer incustodito, anche un notebook con attivata la crittografia del disco, può causare seri problemi alla sicurezza” spiega Olle Segerdahl, Principal Security Consultant di F-Secure.
Olle e il suo collega Pasi Saarinen, cyber security consultant, hanno recentemente scoperto un nuovo modo per violare fisicamente i computer. Secondo la loro ricerca, questo metodo funzionerebbe contro quasi tutti i moderni computer, inclusi quindi anche i notebook di alcuni dei più grandi produttori come Dell, Lenovo, e anche Apple.
E poiché questi computer sono diffusi ovunque, Olle e Pasi hanno condiviso la loro ricerca con aziende come Microsoft, Apple e Intel, ma anche con gli utenti finali. I due ricercatori hanno presentato la loro ricerca alla conferenza SEC-T che si è tenuta in Svezia il 13 settembre e ne parleranno anche al BlueHat v18 di Microsoft negli Stati Uniti il prossimo 27 Settembre.
Olle e Pasi hanno in pratica scoperto una debolezza nel modo in cui i computer proteggono il firmware. I ricercatori affermano che gli attaccanti in grado di ottenere accesso fisico al computer preso di mira possono sfruttare questo punto debole per sferrare un attacco “cold boot”, il che consentirebbe loro di rubare le chiavi di crittografia e altre informazioni sensibili.
Gli attacchi cold boot non sono una novità. Sono stati sviluppati da un gruppo di ricerca nel 2008. Quei ricercatori avevano scoperto che quando un computer viene resettato senza seguire le procedure normali (quindi con un cold/hard reboot), si possono rubare informazioni che rimangono per breve tempo nella memoria (RAM) dopo che il dispositivo smette di essere alimentato.
Dato che gli attacchi cold boot non sono nuovi, ci sono stati sviluppi per renderli meno efficaci. Uno degli espedienti creati da Trusted Computing Group (TCG) consisteva nel riscrivere i contenuti della RAM quando l’alimentazione veniva ripristinata.
Ed è da qui che la ricerca di Olle e Pasi è partita. I due esperti hanno trovato un modo per disabilitare questa funzione di sovrascrittura che consiste nel manipolare fisicamente l’hardware del computer. Usando un semplice strumento, Olle e Pasi hanno scoperto come riscrivere il chip della memoria non-volatile che contiene queste impostazioni, disabilitare la sovrascrittura della memoria, e abilitare l’avvio di dispositivi esterni. Gli attacchi cold boot possono così essere sferrati avviando un programma speciale da una chiavetta USB.
Gli attacchi cold boot rappresentano un metodo noto per ottenere le chiavi di crittografia dai computer. Hli attaccanti possono potenzialmente mettere le mani su tutta una serie di altri dati usando questo tipo di attacco: password, credenziali di accesso alle reti aziendali, e qualsiasi altro dato archiviato sulla macchina sono a rischio.
Sbbene gli attacchi cold boot non siano semplici da portare avanti e richiedano gli strumenti giusti, oltre che l’accesso fisico al computer, restano una tecnica conosciuta tra gli hacker. E dal momento che l’attacco di Olle e Pasi può essere efficace contro quasi tutti i notebook moderni, ciò significa che gli hacker hanno la concreta possibilità di poter compromettere i loro bersagli.
“Non è proprio semplice da portare avanti come attacco, ma non è una problematica così difficile da trovare e sfruttare da poter ignorare la probabilità che alcuni attaccanti l’abbiano già scoperta” spiega Olle. “Non è certo quel genere di ‘punto debole’ che gli attaccanti alla ricerca di bersagli facili sfrutteranno. Ma è quel genere di cose che gli attaccanti che vogliono prendere di mira bersagli più grandi, come banche o grandi aziende, sapranno come usare a loro vantaggio.”
Olle e Pasi hanno condiviso la loro ricerca con Microsoft, Intel e Apple. Tutte e tre le aziende stanno cercando quali possibili strategie di mitigazione mettere in atto. Olle e Pasi hanno anche aiutato Microsoft ad aggiornare la loro guida sulle contromisure con Bitlocker. Apple ha spiegato che i Mac equipaggiati con il chip T2 contengono misure di sicurezza progettate per proteggere i dispositivi da attacchi come quello realizzato da Olle e Pasi e raccomanda agli utenti di impostare una password per il firmware per aiutare a rinforzare la protezione dei Mac che non hanno il chip T2.
A questo indirizzo sul sito di supporto Apple, trovate le istruzioni su come impostare una password nel firmware sul Mac. L’impostazione di una password del firmware impedisce l’avvio da qualsiasi dispositivo di archiviazione interno o esterno diverso dal disco di avvio selezionato e dunque anche da chiavette USB con potenziali software malevoli.
