ZDNet - Varnostni strokovnjaki podjetja F-Secure so razkrili novo vrsto cold boot napada, s katerim lahko na sicer zaklenjeni napravi v približno petih minutah pridemo do - tudi občutljivih - podatkov. Za uspešno izpeljan napad je sicer potreben fizičen dostop do računalnika in posebno orodje na USB ključku.
Cold boot napadi so sicer že stara stvar, z njimi se da nekaj trenutkov po prisilnemu vnovičnem zagonu dostopati do podatkov, ki se shranijo v pomnilniku, potem ko napravi prekinemo napajanje. Večina sodobnih računalnikov je pred takimi napadi že zaščitenih, saj so jim po letu 2008 vgradili varovalko, ki v takem primeru podatke v RAMu pobriše, da se jih ne bi kdo polastil.
A strokovnjaki F-Secure so našli način, kako to varovalko onesposobiti in nato kljub vsemu s cold boot napadom prenesti podatke z naprave. Kot so povedali, je potrebno nekaj malega več truda, je pa metoda učinkovita na vseh prenosnikih iz zadnjega obdobja, ki so jih preizkusili. Uporabnikom zato svetujejo, naj v nastavitvah poskrbijo, da se prenosnik, ko zapremo zaslon, ugasne, namesto da preide v spanje ali hibernacijo.
F-Secure je z novoodkrito varnostno vrzeljo že seznanil Microsoft, Apple in Intel. Z Microsofta so že sporočili, da svetujejo uporabo naprav s standardom Trusted Platform Module (TPM), za nameček pa prav tako priporočajo, da uporabnik onemogoči možnost prehoda naprave v spanje oz. hibernacijo in da si v Okenskem Bitlockerju nastavi PIN geslo za dostop. Odgovor iz Appla je bil kratek, namreč, da njihove naprave s procesorji T2 niso ogrožene (preostale pa seveda so), Intel pa se na odkritje doslej še edini ni odzval.
Razumem, da po hard resetu ostane RAM s staro vsebino (dokler se je ne prepiše). Ne vidim pa tukaj kaj ima z napadom vendor procesorja. Zadeva je (vsaj teoretično) enako problematična ne glede na to kakšen je procesor. Če bios/firmware ob zagonu (po resetu) ne čisti RAM-a, je pač vsebina tam.
Na linkanem članku na ZDnet je (za uspešen) napad potrebno: 1. fizično pridobiti uporabnikov prenosnik 2. mu modificirati bios/firmware 3. UPORABNIKU VRNITI prenosnik (in seveda, da ta teh prvih treh korakov sploh ne opazi) 4. ponovno fizično pridobiti uporabnikov prenosnik in pri tem mora biti prenosnik a) vklopljen ali b) v sleep/standby/hibernacija (torej z "ohranjeno" vsebino RAMa)
Mogoče za navadne smrtnike ta novica ne pomeni veliko, pomeni pa za kakšne druge profile ljudi. Novinarje, aktiviste (proti vladi in korporacijam), itd...
Monsanto je na primer vložil zahtevo na sodišču, da mu Avaaz (aktivisti, ki zbirajo peticije in opozarjajo na probleme v družbi) posreduje vse podatke, ki jih imajo na svojih računalnikih, to pomeni tudi podatki o podpisnikih peticij. Sodišče je sicer zahtevo zavrnilo, ...
Takšna korporacija se zelo zanima za podatke teh organizacij in v takih primerih je ta ranljivost kritična in pomembna.
Sredi spečih in nepazljivih je modrec buden in pazljiv -
po poti gre kot hiter konj, ki je prehitel šibko kljuse.
Res je. Treba je gledati malo dlje od lastnega PC okolja. Koliko ministrov, znanstvenikov, direktorjev, bančnikov, zdravnikov nosi okoli svoje prenosnike? Mnogo njih. Še lepše je to, ker se ti laptopi povezujejo preko oddaljenega dostopa v korporativno okolje. Jackpot :) Ako ga jest nimam, še ne pomeni, da problem ne obstaja...
Ko ne gre več, ko se ustavi, RESET Vas spet v ritem spravi.
Zakaj se trudijo sploh zascitit stvari, ki so inherentno ne-varne. Minister mora pac vedet, da prenosnik z vsemi podatki gor lahko pristane komurkoli v rokah, in da ga tist BO nekako odklenil. Varnost bi morala bit na cisto drugem nivoju.
Gre za to, da ima firmware v MOR bitu shranjeno ali naj EFI (BIOS) zbriše vsebino RAM-a (če je 1). V kolikor je 0 se pričakuje, da je to naredil že OS (ko si npr. ugasnil PC). Na ta način je boot hitrejši. Forced restart pusti vrednost na 1. Je pa seveda vedno mogoče ponastavit ta bit na 0 in potem izvesti standarden cold-boot attack kot je bil predstavljen že leta 2008.
Zakaj se trudijo sploh zascitit stvari, ki so inherentno ne-varne. Minister mora pac vedet, da prenosnik z vsemi podatki gor lahko pristane komurkoli v rokah, in da ga tist BO nekako odklenil. Varnost bi morala bit na cisto drugem nivoju.
No sej po svoje se strinjam, če ima nekdo fizičen dostop do računalnika, je game-over. Vsaj kar se tiče integritete. Po drugi strani pa ni nujno, da vržeš kar takoj puško v koruzo glede podatkov. Lahko se namreč v naprej pripraviš na tak scenarij. Enkripcija diska (ki bi morala biti dandanes obvezna) poskrbi, da namesto da bi bili vsi podatki exposani, ostane samo šifrirni ključ v pomnilniku. Vsebina tega se pa po ponovnem zagonu ohrani največ kakšno minuto. Se pravi tukaj imaš lahko čisto neumen security-through-obscurity mehanizem. Nikoli ne moreš biti siguren, da je to res pomagalo, ampak bolje kot nič. Tako kot nobena veriga ne prepreči kraje kolesa. Point je samo v tem, da napadalca čim bolj upočasni potem pa upaš na najboljše.
Ja, kako tocno zavarovati nek prenosnik je odvisno od tvoje funkcije, ali si navaden smrtnik, minister, kgb agent ali novinar. V nekaterih primerih enostavno ne smes imet gor nic spornega, v drugih je dovolj navadno geslo.
