» »

Novo odkrita ranljivost, ki ogroža praktično vse računalnike

Novo odkrita ranljivost, ki ogroža praktično vse računalnike

vir: ZDNet
ZDNet - Varnostni strokovnjaki podjetja F-Secure so razkrili novo vrsto cold boot napada, s katerim lahko na sicer zaklenjeni napravi v približno petih minutah pridemo do - tudi občutljivih - podatkov. Za uspešno izpeljan napad je sicer potreben fizičen dostop do računalnika in posebno orodje na USB ključku.

Cold boot napadi so sicer že stara stvar, z njimi se da nekaj trenutkov po prisilnemu vnovičnem zagonu dostopati do podatkov, ki se shranijo v pomnilniku, potem ko napravi prekinemo napajanje. Večina sodobnih računalnikov je pred takimi napadi že zaščitenih, saj so jim po letu 2008 vgradili varovalko, ki v takem primeru podatke v RAMu pobriše, da se jih ne bi kdo polastil.

A strokovnjaki F-Secure so našli način, kako to varovalko onesposobiti in nato kljub vsemu s cold boot napadom prenesti podatke z naprave. Kot so povedali, je potrebno nekaj malega več truda, je pa metoda učinkovita na vseh prenosnikih iz zadnjega obdobja, ki so jih preizkusili. Uporabnikom zato svetujejo, naj v nastavitvah poskrbijo, da se prenosnik, ko zapremo zaslon, ugasne, namesto da preide v spanje ali hibernacijo.

F-Secure je z novoodkrito varnostno vrzeljo že seznanil Microsoft, Apple in Intel. Z Microsofta so že sporočili, da svetujejo uporabo naprav s standardom Trusted Platform Module (TPM), za nameček pa prav tako priporočajo, da uporabnik onemogoči možnost prehoda naprave v spanje oz. hibernacijo in da si v Okenskem Bitlockerju nastavi PIN geslo za dostop. Odgovor iz Appla je bil kratek, namreč, da njihove naprave s procesorji T2 niso ogrožene (preostale pa seveda so), Intel pa se na odkritje doslej še edini ni odzval.

20 komentarjev

dronyx ::

nekako se mi zdi da me tole ne skrbi preveč. Ponavadi nič ne shranjujem v pomnilnik, ampak vse na disk. :)

GupeM ::

dronyx je izjavil:

nekako se mi zdi da me tole ne skrbi preveč. Ponavadi nič ne shranjujem v pomnilnik, ampak vse na disk. :)

Ne vem, a mam sarkazem detektor pokvarjen, ali nimaš pojma :D

PS: Tudi mene drugače ne skrbi tole. Nimam prenosnika :P

Sheteentz ::

mene tudi nič ne skrbi, sem pošten državotvoren državljan, nimam nič za skrivat.

mtosev ::

potreben fizičen dostop? ok. prenosnika mi še niso ukradli. zame je tole pass :D
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro
moj oče darko 1960-2016, moj labradorec max 2002-2013

Zgodovina sprememb…

  • spremenil: mtosev ()

branimirII ::

NSA ne potrebuje fizicnega dostopa ali pac? N-akamoto SA-toshi (japonsko zaporedje, najprej priimek nato osebno ime)

Zgodovina sprememb…

louser ::

Intel se nima časa odzivati. Apple pa tako ali tako reče It's you, not our device

MrStein ::

AMD pa sploh v igri ni?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Guzzy ::

"Novo odkrita ranljivost, ki ogroža praktično vse računalnike"

"Cold boot napadi so sicer že stara stvar, .."

najs

marjans ::

Razumem, da po hard resetu ostane RAM s staro vsebino (dokler se je ne prepiše). Ne vidim pa tukaj kaj ima z napadom vendor procesorja. Zadeva je (vsaj teoretično) enako problematična ne glede na to kakšen je procesor. Če bios/firmware ob zagonu (po resetu) ne čisti RAM-a, je pač vsebina tam.

Na linkanem članku na ZDnet je (za uspešen) napad potrebno:
1. fizično pridobiti uporabnikov prenosnik
2. mu modificirati bios/firmware
3. UPORABNIKU VRNITI prenosnik (in seveda, da ta teh prvih treh korakov sploh ne opazi)
4. ponovno fizično pridobiti uporabnikov prenosnik in pri tem mora biti prenosnik a) vklopljen ali b) v sleep/standby/hibernacija (torej z "ohranjeno" vsebino RAMa)

Sem mogoče kaj spregledal?

Timurlenk ::

easy peasy v neki firmi
Demokracija je zdej v drugem planu, to je vendar jasno.

MrStein ::

Če je nastavljeno BIOS geslo, bo težko firmware modificiral.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Manu ::

Mogoče za navadne smrtnike ta novica ne pomeni veliko, pomeni pa za kakšne druge profile ljudi. Novinarje, aktiviste (proti vladi in korporacijam), itd...

Monsanto je na primer vložil zahtevo na sodišču, da mu Avaaz (aktivisti, ki zbirajo peticije in opozarjajo na probleme v družbi) posreduje vse podatke, ki jih imajo na svojih računalnikih, to pomeni tudi podatki o podpisnikih peticij. Sodišče je sicer zahtevo zavrnilo, ...

Takšna korporacija se zelo zanima za podatke teh organizacij in v takih primerih je ta ranljivost kritična in pomembna.
Sredi spečih in nepazljivih je modrec buden in pazljiv -
po poti gre kot hiter konj, ki je prehitel šibko kljuse.

dexterboy ::

Res je. Treba je gledati malo dlje od lastnega PC okolja. Koliko ministrov, znanstvenikov, direktorjev, bančnikov, zdravnikov nosi okoli svoje prenosnike? Mnogo njih. Še lepše je to, ker se ti laptopi povezujejo preko oddaljenega dostopa v korporativno okolje. Jackpot :)
Ako ga jest nimam, še ne pomeni, da problem ne obstaja...
Ko ne gre več, ko se ustavi, RESET Vas spet v ritem spravi.

Ahim ::

branimirII je izjavil:

NSA ne potrebuje fizicnega dostopa ali pac? N-akamoto SA-toshi (japonsko zaporedje, najprej priimek nato osebno ime)

Wow branimirII, tole si pa res dobro opazil! Pa v imenu imas II, kar je rimska stevilka 2, torej skoraj 3!

HALF LIFE 3 CONFIRMED !!!11!ena :O

AštiriL ::

Ampak tudi "varovalka" ne pomaga, če prej dejansko ZMRZNEŠ RAM...

Video
Ostani 127.0.0.1, ko si 0.0.0.0, nosi 255.255.255.255.

Rokec ::

Hm, to pa ne razumem. Zakaj pa bi se Intel odzval na to, saj ta napad nima veze s procesorjem?

Utk ::

Zakaj se trudijo sploh zascitit stvari, ki so inherentno ne-varne. Minister mora pac vedet, da prenosnik z vsemi podatki gor lahko pristane komurkoli v rokah, in da ga tist BO nekako odklenil. Varnost bi morala bit na cisto drugem nivoju.

Zgodovina sprememb…

  • spremenil: Utk ()

fiction ::

Lahko bi dodali link direktno do njihovega talka:

Gre za to, da ima firmware v MOR bitu shranjeno ali naj EFI (BIOS) zbriše vsebino RAM-a (če je 1). V kolikor je 0 se pričakuje, da je to naredil že OS (ko si npr. ugasnil PC). Na ta način je boot hitrejši. Forced restart pusti vrednost na 1. Je pa seveda vedno mogoče ponastavit ta bit na 0 in potem izvesti standarden cold-boot attack kot je bil predstavljen že leta 2008.

fiction ::

Utk je izjavil:

Zakaj se trudijo sploh zascitit stvari, ki so inherentno ne-varne. Minister mora pac vedet, da prenosnik z vsemi podatki gor lahko pristane komurkoli v rokah, in da ga tist BO nekako odklenil. Varnost bi morala bit na cisto drugem nivoju.

No sej po svoje se strinjam, če ima nekdo fizičen dostop do računalnika, je game-over. Vsaj kar se tiče integritete. Po drugi strani pa ni nujno, da vržeš kar takoj puško v koruzo glede podatkov. Lahko se namreč v naprej pripraviš na tak scenarij. Enkripcija diska (ki bi morala biti dandanes obvezna) poskrbi, da namesto da bi bili vsi podatki exposani, ostane samo šifrirni ključ v pomnilniku. Vsebina tega se pa po ponovnem zagonu ohrani največ kakšno minuto. Se pravi tukaj imaš lahko čisto neumen security-through-obscurity mehanizem. Nikoli ne moreš biti siguren, da je to res pomagalo, ampak bolje kot nič. Tako kot nobena veriga ne prepreči kraje kolesa. Point je samo v tem, da napadalca čim bolj upočasni potem pa upaš na najboljše.

Utk ::

Ja, kako tocno zavarovati nek prenosnik je odvisno od tvoje funkcije, ali si navaden smrtnik, minister, kgb agent ali novinar. V nekaterih primerih enostavno ne smes imet gor nic spornega, v drugih je dovolj navadno geslo.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Novo odkrita ranljivost, ki ogroža praktično vse računalnike

Oddelek: Novice / Varnost
205319 (2844) Utk
»

Programi za ENKRIPTIRANJE namesto Bitlockerja

Oddelek: Pomoč in nasveti
174728 (2974) Yacked2
»

Razlika med encr. key na USB in uporabo TPM

Oddelek: Informacijska varnost
122389 (1789) Mr.B
»

V Švici kazniva posest trde pornografije tudi v brskalniškem pomnilniku (strani: 1 2 )

Oddelek: Novice / NWO
5816083 (13374) poweroff
»

Izšel Incognito 2008.1

Oddelek: Novice / Zasebnost
225432 (3593) Jst

Več podobnih tem