Domov      Nastavenia 
RSS English Slovensky

Aktuálne
Mesačná správa CSIRT.SK - August 2018
Tlačové správy
10.09.2018
Analýza malvéru Pegasus
Tlačové správy
10.09.2018
Mesačný prehľad za mesiac august 2018
Tlačové správy
03.09.2018
Zahraničné zdroje
Nahlásené incidenty
1.1.2017 - 31.12.2017
 

Graf

Studeným štartom k informáciám zo šifrovaných diskov

14.09.2018
Výskumníci z F-Secure odhalili spôsob ako znefunkčniť softvérovú ochranu pred útokom typu cold boot (studený štart) a získať tak citlivé dáta z pamäte RAM, okrem iného aj heslá a kryptografické kľúče k šifrovaným diskom. Zraniteľné sú takmer všetky dnešné osobné počítače a zatiaľ existujú len opatrenia na zníženie pravdepodobnosti úspešného útoku.

 

Dôsledky
Únik citlivých údajov, akými sú heslá a šifrovacie kľúče, ktorý môže viesť k dešifrovaniu chránených pevných diskov.

Opis činnosti
Výskumníci zo spoločnosti F-Secure prezentovali na konferencii SEC-T formu útoku na firmvér, ktorý chráni pamäť RAM pred tzv. cold boot útokom. Tento sa dá vykonať, ak má útočník fyzický prístup k počítaču obete. Jedná sa o rýchly reštart (napr. zamknutého) systému s použitím špeciálne vytvoreného operačného systému napríklad na prenosnom médiu, alebo na sieti, ktorý po načítaní zálohuje obsah pamäte. Analýzou zálohy je možné extrahovať citlivé údaje, ako heslá a šifrovacie kľúče.

Aby nebolo možné urobiť zálohu pamäte pri cold boot útoku, konzorcium výrobcov hardvéru Trusted Computing Group (TCG) vyvinulo ako súčasť svojho firmvéru funkciu, ktorá vyžiada prepísanie pamäte RAM hneď po obnovení napájania po neštandardnom vypnutí systému (napríklad reštart natvrdo, či odpojenie od napájania). Nazýva sa TCG Reset Attack Mitigation, alebo MORLock (Memory Overwrite Request Control).

Spomínaní výskumníci objavili spôsob, ako fyzickou manipuláciou prepísať informáciu o vynútenom prepise pamäte na čipe so stálou pamäťou, kde bola uložená. Podarilo sa im zamedziť prepisu pamäte RAM a povoliť štart systému z externého zariadenia. Potom mohli bez prekážky vykonať cold boot útok.

Obozretné by mali byť najmä organizácie, ktorých zamestnanci cestujú s laptopmi s citlivými údajmi, o ktoré môžu mať útočníci značný záujem.

Zraniteľné systémy
Pravdepodobne všetky osobné počítače okrem produktov Apple, ktoré využívajú čip T2.

Závažnosť zraniteľnosti
Vysoká

Možné škody
Únik informácii

Odporúčania
V súčasnosti neexistuje riešenie na úplné zamedzenie možnosti útoku, no nasledujúce odporúčania výrazne znížia pravdepodobnosť úspechu.

  • Zariadenia od Apple s čipom T2 by mali byť bezpečné
  • Chrániť firmvér heslom
  • Zakázať režim spánku (Sleep), vďaka čomu nezostanú v pamäti načítané heslá a kľúče k šifrovaným partíciám
  • Pred štartovaním / zobudením systému nastaviť vyžiadanie hesla pre BitLocker

Odkazy
https://arstechnica.com/gadgets/2018/09/cold-boot-attacks-given-new-life-with-firmware-attack/
https://www.bleepingcomputer.com/news/security/cold-boot-attack-steals-passwords-in-under-two-minutes/
https://blog.f-secure.com/cold-boot-attacks/
https://www.zdnet.com/article/new-cold-boot-attack-affects-nearly-all-modern-computers/#ftag=RSSbaffb68
https://www.darkreading.com/risk/new-cold-boot-attack-gives-hackers-the-keys-to-pcs-macs/d/d-id/1332814?_mc=rss_x_drr_edt_aud_dr_x_x-rss-simple
https://arstechnica.com/science/2008/02/researchers-crack-filevault-bitlocker-with-canned-air-hack/



<< zoznam oznámení