13/09/2018 |

Un punto debole scoperto nel firmware dei moderni notebook mette a rischio le chiavi di crittografia

Gli esperti sostengono che le attuali misure di sicurezza non siano sufficienti per proteggere i dati sui notebook che vengono persi o rubati

Milano, 13 settembre 2018 – Gli esperti di cyber security di F-Secure hanno scoperto un punto debole nei computer moderni che gli attaccanti possono sfruttare per rubare le chiavi di crittografia e altre informazioni sensibili. La scoperta ha spinto i ricercatori di F-Secure ad avvertire i vendor di questi dispositivi e gli utenti che le attuali misure di sicurezza non sono sufficienti per proteggere i dati in notebook smarriti o rubati.

Gli attaccanti hanno bisogno di avere accesso fisico al computer per poter approfittare di questa vulnerabilità. Ma Olle Segerdahl, Principal Security Consultant di F-Secure, spiega che una volta ottenuto l’accesso fisico, un criminale può sferrare con successo l’attacco in circa 5 minuti.

“Tipicamente le organizzazioni non sono preparate a proteggersi da un attaccante che sia venuto in possesso di un computer aziendale. E quando una problematica di sicurezza viene rilevata in dispositivi prodotti dai maggiori vendor di computer, come la vulnerabilità che il mio team ha saputo sfruttare, ci si deve aspettare che molte aziende abbiano un punto debole nella loro sicurezza di cui non sono pienamente consapevoli o non sono preparate ad affrontare,” ha spiegato Segerdahl.

Questo punto debole scoperto da F-Secure consente agli attaccanti con accesso fisico al computer di sferrare un attacco cold boot – un attacco noto agli hacker dal 2008. Con gli attacchi cold boot si forza la macchina a spegnersi agendo sul pulsante del dispositivo, evitando che segua quindi il processo normale di spegnimento, e si recuperano i dati che rimangono accessibili per breve tempo nella RAM dopo che l’alimentazione è cessata.

I moderni laptop sovrascrivono la RAM per prevenire nello specifico che gli attaccanti utilizzino attacchi cold boot per rubare dati. Tuttavia, Segerdahl e il suo team hanno scoperto un modo per disabilitare il processo di sovrascrittura e rimettere in gioco il vecchio attacco cold boot.

Serve aggiungere qualche step rispetto al classico attacco cold boot, ma è efficace contro tutti i notebook moderni che abbiamo testato. E dal momento che questo tipo di minaccia è rilevante primariamente in scenari in cui i notebook vengono rubati o presi illecitamente, un attaccante avrà tutto il tempo necessario per eseguire l’attacco,” ha precisato Segerdahl.

L’attacco sfrutta il fatto che le impostazioni del firmware che governano il comportamento del processo di avvio non sono protette contro la manipolazione di un attaccante fisico. Con un semplice strumento hardware, un attaccante può riscrivere il chip della memoria non-volatile che contiene queste impostazioni, disabilitare la sovrascrittura della memoria e abilitare il riavvio tramite dispositivi esterni.  L’attacco cold boot può quindi essere eseguito avviando un programma speciale da una chiavetta USB.

Poiché questo attacco funziona nei confronti dei notebook usati nelle aziende, non esiste per le organizzazioni un modo affidabile per sapere che i loro dati sono al sicuro se un computer scompare. E dato che il 99% dei computer aziendali conterranno informazioni come le credenziali di accesso alle reti aziendali, ciò offre agli attaccanti un modo affidabile e consistente per compromettere le aziende,” ha sottolineato Segerdahl. “Non c’è una soluzione semplice per questo problema, quindi è un rischio che le aziende dovranno affrontare da sole.”

Segerdahl ha condiviso la ricerca del suo team con Intel, Microsoft e Apple per aiutare l’industria dei PC a migliorare la sicurezza dei prodotti attuali e futuri.

Ma Segerdahl non si aspetta una soluzione immediata o in tempi brevi dall’industria, quindi raccomanda alle aziende di prepararsi a questo tipo di attacchi. Un modo consiste nel configurare i notebook affinché si spengano automaticamente/o si ibernino, invece di entrare nella modalità sleep, e richiede che gli utenti inseriscano il PIN Bitlocker ogni volta che Windows riparte o si ripristina. Formare i dipendenti, specialmente gli executive e chi viaggia, sugli attacchi cold boot e minacce simili è altrettanto importante. E i dipartimenti IT dovrebbero avere un piano di risposta agli incidenti (incident response) per affrontare i casi in cui i notebook vengano persi.

Una rapida risposta che evita l’accesso alle credenziali renderà i notebook che vengono rubati di minor valore per gli attaccanti. I team di IT security e incident response dovrebbero provare questo scenario e assicurarsi che i dipendenti dell’azienda sappiano notificare immediatamente all’IT se un dispositivo viene perso o rubato,” suggerisce Segerdahl. “La pianificazione di questi eventi è una pratica migliore rispetto all’assunzione che i dispositivi non possano essere fisicamente compromessi dagli hacker, perché ovviamente non è così.

Segerdahl e il suo collega Pasi Saarinen, F-Secure Security Consultant, presentano questa ricerca alla conferenza SEC-T in Svezia oggi 13 settembre, e anche alla conferenza BlueHat v18 di Microsoft negli Stati Uniti il 27 settembre.

Per maggiori informazioni

F-Secure Blog Post: The Chilling Reality of Cold Boot Attacks
Microsoft’s Documentation on Bitlocker Countermeasures

F-Secure

Nessuno conosce la cyber security come F-Secure. Per tre decenni, F-Secure ha guidato l’innovazione nella cyber security, difendendo decine di migliaia di aziende e milioni di persone. Con un’esperienza insuperabile nella protezione degli endpoint, così come nella rilevazione e risposta, F-Secure difende aziende e utenti da attacchi informatici avanzati, violazioni di dati e dalle diffuse infezioni ransomware. La sofisticata tecnologia di F-Secure combina la forza del machine learning con l’esperienza umana degli esperti presenti nei suoi rinomati laboratori di sicurezza con un approccio singolare chiamato Live Security. Gli esperti di sicurezza di F-Secure hanno preso parte a più investigazioni sul crimine informatico in Europa di qualsiasi altra azienda sul mercato, e i suoi prodotti sono venduti in tutto il mondo attraverso oltre 200 operatori di banda larga e telefonia mobile e migliaia di rivenditori.

Fondata nel 1988, F-Secure è quotata al NASDAQ OMX Helsinki Ltd.

f-secure.it |f-secure.com| twitter.com/fsecure | facebook.com/f-secure |YouTube

Seguici anche sul blog italiano: blog.f-secure.com/it

e sull’account Twitter italiano: @F-Secure_IT

 

Contatti per la stampa:

Samanta Fumagalli
Resp. Ufficio Stampa
samanta.fumagalli@gmail.com
info@samantafumagalli.com
Mobile 320.9011759

Risorse disponibili

cold_boot_attacks_infographic_final.pdf
evil-maid-guide.pdf

Gli ultimi comunicati stampa

11/12/2018

Con il periodo natalizio gli acquirenti online sono più vulnerabili allo spam

La nuova ricerca di F-Secure mette in guardia chi fa acquisti online durante il periodo natalizio su e-mail malevole travestite da notifiche di consegna

21/11/2018

F-Secure potenzia la rilevazione e risposta per gli endpoint con un servizio on-demand di “intervento degli esperti”

F-Secure Rapid Detection & Response supporta le aziende che combattono i criminali informatici aiutando i team di sicurezza informatica, spesso sovraccarichi, a bloccare le violazioni prima che si verifichino grazie all’automazione, tutto con un’unica soluzione facile da usare

15/11/2018

Ricercatori identificano vulnerabilità zero-day in Xiaomi Mi6 e Samsung Galaxy S9

Durante la competizione Mobile Pwn2Own, i ricercatori dei Laboratori MWR di F-Secure hanno rivelato degli exploit per vulnerabilità precedentemente sconosciute

06/11/2018

Al via per il terzo anno il MOOC sulla cyber security

La serie di corsi online gratuiti sulla Cyber Security promossa da F-Secure e dall’Università di Helsinki vuole aiutare i futuri professionisti della cyber security a realizzare tutto il loro potenziale

%d bloggers like this: