Kradzież haseł z pamięci RAM z zaszyfrowanego dysku komputera

Badacze ds. cyberbezpieczeństwa z F-Secure odkryli problem w zabezpieczeniach komputerów największych producentów, który umożliwia hakerom przejęcie danych z dysku, nawet jeżeli były zaszyfrowane. Cyberprzestępcom wystarczy zaledwie 5 minut fizycznego dostępu, aby przeprowadzić atak. Kradzież haseł z pamięci RAM to prawdopodobny scenariusz ataku.

Problem wynika z braku odpowiednich zabezpieczeń w procesie uruchamiania systemu, co pozwala wykonać znany już od dekady atak nazywany „Cold Boot”. Atak polega na odczytaniu danych z pamięci RAM po odcięciu zasilania, np. gdy komputer zostaje ponownie uruchomiony bez zamknięcia systemu, nawet wtedy, kiedy dysk jest zaszyfrowany za pomocą BitLockera. Atak wymaga schłodzenia pamięci do minusowych temperatur, co daje hakerowi kilka minut na odczytanie danych.

Problem dotyczy niemal wszystkich użytkowników komputerów, ale szczególnie zagrożone są firmy i organizacje. W świetle nowego odkrycia, każdy zgubiony czy skradziony służbowy laptop stanowi ryzyko, gdyż najprawdopodobniej zawiera wrażliwe dane, np. uwierzytelniające dostęp do firmowej sieci.

Firmy rzadko przygotowane są na fizyczny atak hakerów.  Tymczasem zagrożenie może stanowić każdy komputer zostawiony w pokoju hotelowym czy skradziony na lotnisku podczas podróży służbowej. Przetestowaliśmy laptopy największych producentów i za każdym razem uzyskaliśmy dostęp. To oznacza, że zdecydowana większość organizacji jest w grupie ryzyka. Równie ważne jest uświadamianie o zagrożeniu pracowników, zwłaszcza kadry kierowniczej i podróżujących służbowo. Działy IT powinny mieć także gotowy plan działania w sytuacji zgubienia czy kradzieży firmowego komputera, aby zdalnie zablokować konto użytkownika i starać się zminimalizować ryzyko wycieku danych. Wierzymy, że upublicznienie naszego odkrycia to najszybszy sposób dotarcia do użytkowników, a także zwrócenia uwagi na problem niewystarczających zabezpieczeń w obecnych modelach komputerów

– komentuje Olle Segerdahl, główny konsultant ds. bezpieczeństwa w F-Secure, który odkrył problem.

Jednocześnie nie ma prostego sposobu ochrony urządzeń przed zagrożeniem. O swoim odkryciu F-Secure powiadomił firmy Intel, Microsoft i Apple, jednak problem nie wynika z pojedynczej luki w oprogramowaniu i Sagerdahl nie spodziewa się natychmiastowego rozwiązania.

Jak zaznacza, producenci powinni lepiej chronić użytkowników przed atakami, w których zakładamy fizyczny dostęp hakerów do komputera. Jednak w niektórych przypadkach może to wymagać zmian na poziomie sprzętowym, niemożliwych do zastosowania w modelach dostępnych obecnie na rynku.

Zgodnie z ich badaniami ta metoda będzie działać na prawie wszystkich współczesnych komputerach. Obejmuje to laptopy pochodzące od jednych z największych na świecie dostawców, takich jak Dell, Lenovo, a nawet Apple.

Jak chronić się przed atakiem Cold Boot?

Największe ryzyko wiąże się z zostawianiem „uśpionego” komputera. Ma to związek z kluczami szyfrującymi dane – w tym trybie pozostają one w pamięci RAM, więc są możliwe do odczytania przez cyberprzestępcę. W celu uzyskania praktycznie nieograniczonego dostępu do zawartości komputera: haseł, dokumentów czy danych, wystarczy wówczas uruchomić odpowiedni program za pomocą pamięci USB lub w inny sposób skopiować zawartość nadal zasilanej pamięci RAM, w której znajdują się klucze szyfrujące. Natomiast gdy komputer przechodzi w stan hibernacji lub zostaje wyłączony, klucze szyfrujące przenoszone są z pamięci RAM na zaszyfrowany dysk twardy. Użytkownicy powinni więc tak skonfigurować sprzęt, aby laptopy automatycznie wyłączały się lub przechodziły w stan hibernacji, gdy nie są używane. Warto również zadbać o funkcję dodatkowego uwierzytelniania przed startem systemu, np. przez nadanie kodu PIN w programie BitLocker.

Konsultanci ds. bezpieczeństwa F-Secure Olle Segerdahl i Pasi Saarinen przedstawią wyniki swoich badań 13 września na konferencji SEC-T w Szwecji oraz 27 września na konferencji Microsoft BlueHat v18 w USA.



Dodaj komentarz

Treść tego pola jest prywatna i nie będzie udostępniana publicznie.

Zapoznaj się z naszą ofertą

Jeśli zajmujesz się sprzedażą rozwiązań zabezpieczających, jesteś dystrybutorem, autoryzowanym partnerem lub producentem i chciałbyś na portalu AVLab zaprezentować swoje portfolio gronu potencjalnych odbiorców, zareklamować wydarzenie, oprogramowanie, sprzęt lub inne usługi — po prostu napisz do nas. A może mialeś/aś do czynienia z ransomware? Pomagamy też w odszyfrowaniu plików.
Czytaj więcej