Mrazivá realita cold-boot útoků
Co přesně děláte, když přestanete pracovat na notebooku? Vypínáte ho? Uspáváte? Prostě ho zavřete a jdete?
Mnoho lidí si možná neuvědomuje, že to, v jakém stavu nechávají bez dozoru svůj notebook, a to dokonce i notebook se šifrováním celého disku, jim může přivodit nepěkný bolehlav.
„Režim spánku je režim zranitelný,“ říká hlavní bezpečnostní poradce F-Secure Olle Segerdahl.
Olle a jeho kolega z řad specialistů na kybernetickou bezpečnost Pasi Saarinen nedávno přišli na nový způsob, jak je možné díky fyzickému přístupu ohrozit počítače. Podle jejich výzkumu bude tato metoda účinná proti téměř všem moderním počítačům, včetně notebooků některých z největších světových prodejců, jako jsou Dell, Lenovo, či dokonce Apple.
Protože tyto počítače jsou všude, Olle a Pasi sdílejí výsledky svého výzkumu nejen se společnostmi jako Microsoft, Apple a Intel, ale také se širokou veřejností. Dvojice prezentovala svá zjištění 13. září na konferenci SEC-T ve Švédsku a bude je prezentovat 27. září na konferenci BlueHat pořádanou Microsoftem ve Spojených státech.
Abyste se dozvěděli veškeré podrobnosti, můžete zhlédnout záznam jejich prezentace ze SEC-T, nebo čtěte dále, pokud chcete zjistit, co způsobilo takový rozruch!
Řečeno jednoduše, Olle a Pasi odhalili slabinu v tom, jak počítače chrání firmware. Tvrdí, že útočníci schopní získat fyzický přístup k počítači, který chtějí napadnout, mohou této slabiny využít k provedení úspěšného útoku typu cold-boot, díky němuž budou moci ukrást šifrovací klíče a další citlivé informace.
Cold-boot útoky nejsou žádná novinka. Byly vyvinuty jedním výzkumným týmem už v roce 2008. Ten zjistil, že když se počítač resetuje, aniž by byl dodržen řádný postup (což je jinak známo jako studený/tvrdý restart), je možné ukrást informace, které po krátkou dobu zůstávají v paměti (RAM), když se přeruší napájení zařízení.
Jelikož tyto útoky nejsou ničím novým, došlo již k určitým opatřením, díky nimž by měly být méně účinné. Ochranným prvkem, který vytvořila skupina Trusted Computing Group (TCG), je přepsání obsahu paměti RAM po obnovení napájení.
A tady právě vstupuje na scénu Olleho a Pasiho výzkum. Tito dva odborníci přišli na způsob, jak znemožnit funkci přepisu pomocí fyzické manipulace s hardwarem počítače. Použitím jednoduchého nástroje dokázali přeprogramovat nevolatilní paměťový čip, který obsahuje její nastavení, zabránit přepsání paměti a umožnit spuštění systému z externích zařízení. Cold-boot útok pak lze provést pomocí speciálního programu na USB disku.
Jedná se o známou strategii, jak získat ze zařízení šifrovací klíče. Ve skutečnosti se ale jejím prostřednictvím mohou útočníkům dostat do rukou různé typy informací. Ohrožena jsou hesla, přihlašovací údaje pro firemní sítě i veškerá data uložená v počítači.