Nul
Sikkerhed forskere vil nærmere i dag en ny variation af en cold boot-angreb, der kan blande sig med computerens firmware for at deaktivere sikkerhedsforanstaltninger og gøre det muligt for en hacker at genoprette følsomme data, der er gemt på computeren, såsom adgangskoder, corporate filer, og mere.
De angreb, som er præsenteret i dag på en konference, er en variant af old cold boot-angreb, der er kendt for næsten et årti.
Cold boot-angreb er, når en hacker styrker en computer reset/genstarte, og derefter stjæler data over i RAM.
Alle cold boot-angreb kræver fysisk adgang og speciel hardware værktøj til at udføre, og er generelt ikke betragtes som en trussel vektor for normale brugere, men kun for computere lagring af meget følsomme oplysninger, eller for høj værdi enkeltpersoner, såsom embedsmænd eller forretningsmænd.
I løbet af de år, OS beslutningstagere og hardware-leverandører har leveret forskellige sikkerhedsforanstaltninger for at reducere effekten af cold boot-angreb, selv om de sker. En af disse beskyttelser var, at computere vil overskrive indholdet af RAM, da strømmen blev restaureret efter en kold boot.
Også: Sårbarheder fundet i remote management interface af Supermicro servere
Men sikkerhedseksperter fra den finske it-sikkerhedsfirma F-Secure opdaget, at de kan deaktivere denne funktion ved at ændre “firmware” – indstillingerne og stjæle data fra en computer RAM-efter en kold genstart.
Ligesom alle tidligere cold boot-angreb, deres metode, der kræver fysisk adgang og et særligt værktøj til at udtrække overskydende RAM. En video af en af de forskere, der udfører deres variant af angreb er indlejret nedenfor.
“Det er ikke helt nemt at gøre, men det er ikke en hård nok problem til at finde og udnytte for os at ignorere sandsynligheden for, at nogle angribere har allerede regnet det ud,” sagde F-Secure Vigtigste Sikkerheds-Konsulent Olle Segerdahl, en af forskerne.
“Det er ikke ligefrem den slags ting, at angriberne på udkig efter nemme mål vil bruge. Men det er den slags ting, at angriberne på udkig efter større phish, som en bank eller en stor virksomhed, der vil vide, hvordan man bruger,” tilføjede han.
Også: OpenSSL 1.1.1 ud med TLS-1.3 støtte og “komplet omskrivning” af RNG-komponent
De to forskere siger, at denne metode vil virke mod næsten alle moderne computere. De har allerede meddelt, Microsoft, Intel og Apple af deres resultater.
Microsoft reagerede ved at opdatere sin windows BitLocker-vejledning, mens Apple sagde, at alle enheder ved hjælp af et T2-chip er ikke sårbare.
I mellemtiden, Olle og Pasi anbefaler, at system administratorer og IT-afdelinger med at konfigurere alle virksomhedens computere til enten at lukke eller hibernate (ikke til slumre-tilstand) og kræver, at brugerne til at indtaste deres BitLocker-PIN-kode, når de har magten op eller genoprette deres computere.
De to sige, at cold boot-angreb-sådan som deres variation-vil fortsætte med at arbejde, men ved at kryptere harddisken via BitLocker eller et andet tilsvarende system, dette begrænser mængden af data, som en hacker kan komme sig.
“Krypteringsnøgler, der ikke er gemt i RAM, når maskinen går i dvale eller lukker ned. Så der er ingen værdifulde info for en hacker at stjæle,” F-Secure sagde i en pressemeddelelse i dag.
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0