» »

Thunderspy: razlog več, da prenosnika ne puščate samega

Thunderspy: razlog več, da prenosnika ne puščate samega

Slo-Tech - Nizozemski raziskovalec Björn Ruytenberg je razkril, kako z izvijačem in prirejeno Thunderbolt napravo v petih minutah vdreti v prenosnik in prevzeti nadzor nad podatki. Metoda Thunderspy se zanaša na varnostno luknjo strojne narave v vmesniku Thunderbolt. Ta deluje na vodilu PCI-e in ima zato neposreden dostop do podatkov v delovnem pomnilniku (DMA), kar nepridipravom omogoča popoln dostop do podatkov. Postopek si lahko ogledate tudi v videoposnetku.

Metoda je močno omejena s tem, da zahteva neposreden dostop do računalnika in to najmanj nekaj minut. V tem času je potrebno prenosnik odpreti, priključiti posebno zunanjo napravo in z njeno pomočjo naložiti nov firmware. A po drugi strani na ta način obidemo vse, še tako močne zaščite, kot je denimo Secure Boot, pa z geslom zaščitena BIOS in operacijski sistem ter celostno šifriranje diska. Thunderspy tudi ne zahteva nobenega sodelovanja uporabnika ter po končani operaciji ne pušča vidnih sledov, ki bi žrtvi dale vedeti, kaj se je zgodilo.

Kot trdi Ruytenberg, Thunderspy ogroža uporabnike Windows, Linux na domala vseh napravah kupljenih pred letom 2019, uporabnike MacOS pa le deloma. So pa tudi maci ogroženi, kadar prek orodja Boot Camp poganjajo Windows ali Linux. Vmesnik Thunderbolt je ogrožen v različicah 1, 2 in 3, zelo verjetno pa bo prizadel tudi prihajajočo štirico, kot tudi druge povezane bodoče standarde, denimo USB4, zlasti, ker ranljivosti ni mogoče zakrpati s programsko nadgradnjo.

Ruytenberg je o varnostni vrzeli že pred meseci obvestil Apple in Intel, obe družbi sta vmesnik namreč skupaj razvili pred skoraj desetletjem, nadaljnji razvij pa je nato prevzel sam Intel. Pri Applu so odgovorili, da problema ne nameravajo reševati, predvsem zato, ker njihovih uporabnikov neposredno ne zadeva. Podobno so se izvili predstavniki Intela, češ, da so ranljivost že lani zakrpali z mehanizmom, imenovanim Kernel Direct Memory Access, uporabnikom pa na varnostnem blogu svetovali, da naj "računalnika ne puščajo samega in da naj v vmesnik priklapljajo le zanesljive naprave znanega izvora". Kernel Direct Memory Access imajo posledično le naprave kupljene v zadnjem času, pa še to ne vse; kot poroča Wired, ga na primer nima noben Dellov prenosnik.

Za tiste, ki jih skrbi, so Ruytenberg in sodelavci z Univerze v Eindhovnu objavili tudi orodje, imenovano Spycheck, s katerim lahko preverite ali je vaša naprava potencialno ogrožena.

9 komentarjev

terryww ::

ter celostno šifriranje diska

Tega ne razumem. Da se disk dešifrira, je potrebno ob zagonu vtipkat geslo. Kako lahko brez tega gesla bere podatke na disku?
It is the night. My body's weak.
I'm on the run. No time to sleep.

LightBit ::

Mislim da mora biti računalnik prižgan. Torej je geslo za šifriranje že bilo vnešeno.

WhiteAngel ::

terryww je izjavil:

ter celostno šifriranje diska

Tega ne razumem. Da se disk dešifrira, je potrebno ob zagonu vtipkat geslo. Kako lahko brez tega gesla bere podatke na disku?


Če ima naprava dostop do biosa/efija, potem brez težav tudi keylogger laufa.

Markoff ::

terryww je izjavil:

ter celostno šifriranje diska

Tega ne razumem. Da se disk dešifrira, je potrebno ob zagonu vtipkat geslo. Kako lahko brez tega gesla bere podatke na disku?

Saj jih ne. Podatke bere iz pomnilnika, kot članek lepo opisuje. Poleg tega uporabnik laptopa ne ve, kaj se je zgodilo, torej veselo prižge računalnik, odtipka svojih 15 gesel in dela dalje.

Metoda je močno omejena s tem, da zahteva neposreden dostop do računalnika in to najmanj nekaj minut.

Če ne deluje maid ali doublemaid attack, uporabiš French maid attack, ki da hekerju na voljo vsaj pol ure...
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021

Zgodovina sprememb…

  • spremenilo: Markoff ()

ender ::

Zelo dober opis tega ,,napada":

https://twitter.com/marcan42/status/125...

The Thunderbolt attacks, ELI5 version

Attack 1: if you break into my house, you can change my lock so it accepts a master key so you can come in later.

Attack 2: if you break into my friend's house, and he has my keys, you can copy them and go into my house.

Duh?
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

m0f0x ::

MrStein ::

codeHusky:

[Quick rundown on the facts here if you still don't understand what I'm trying to say here.]
- The attack requires extended physical access to the device to be useful, even after the main part of the attack is over.
- This attack is only useful if you have a Thunderbolt 3 device that can dump the memory of the device its plugged into, meaning this doesn't really make your device vulnerable to anything but the hacker.
- This attack doesn't result in any sort of remote exploitation potential, such as opening a port on the computer for public access or something.
- Machines where this is relevant (such as business machines) often have chassis intrusion protection features, which prevent the device from remaining on if the bottom cover is removed from the system.
- This doesn't affect anyone who's just a random consumer, such as yourself. This really only affects corporations and government entities, or just the particularly paranoid.
- This attack requires involvement via you leaving your machine out in the open where a bad actor could grab it, open it, and mess with it. This assumes Thunderbolt 3 is enabled on your PC in the BIOS
- This attack requires either soldering or a flash clip that can fit your SPI ROM flash, or simply access to spi flash pads somewhere on the board. This isn't gonna be easy to plan for outside of extremely well planned out attacks.
- This attack is entirely mitigated with epoxy.
- This attack is entirely mitigated by disabling Thunderbolt in the BIOS.
- This attack is largely mitigated by just disabling sleep modes and having your machine turn off the moment the cover is closed.
- Being able to flash custom firmware to memory chips isn't new -- people have been doing it with graphics cards for a while. So yes, flashing the chip and having it still work isn't a major revelation.

In summary, this isn't really anything to be concerned about for most of you.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

poweroff ::

Za večino ne, če si pa slučajno Ibrahim Othman se ti pa zaradi tega zna zgodit napad na Al Kibar. ;)
sudo poweroff

poweroff ::

sudo poweroff


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Thunderspy: razlog več, da prenosnika ne puščate samega

Oddelek: Novice / Varnost
95667 (3620) poweroff
»

Zanimiv napad na kontroler trdega diska (strani: 1 2 3 )

Oddelek: Novice / Varnost
12044291 (38212) MrStein
»

USB 3.0 črno na belem (strani: 1 2 )

Oddelek: Novice / Diski
6010256 (7576) MrStein
»

Ognjeni napad na Okna (strani: 1 2 )

Oddelek: Novice / Varnost
518476 (5243) Jst
»

Prenosnik brejka?

Oddelek: Pomoč in nasveti
141460 (1242) darkolord

Več podobnih tem