September 13, 2018 |

Sårbarhet i fast programvara hos moderna datorer avslöjar krypteringsnycklar

Experter anser att dagens säkerhetsåtgärder inte räcker till för att skydda data i förlorade eller stulna bärbara datorer

Helsingfors, Finland – 13 september 2018: Konsulter från cybersäkerhetsleverantören F-Secure har upptäckt en sårbarhet i moderna datorer som angripare kan använda till att stjäla krypteringsnycklar och annan känslig information. Upptäckten har fått experterna att varna datorleverantörer och användare om att de nuvarande säkerhetsåtgärderna inte räcker för att skydda data i borttappade eller stulna bärbara datorer.

Angripare behöver fysisk tillgång till datorn innan de kan utnyttja sårbarheten. Men F-Secures Principal Security Consultant Olle Segerdahl säger att när de lyckats kan en angripare genomföra en framgångsrik attack på cirka fem minuter.

”Ofta är företag inte förberedda på att skydda sig mot en angripare med fysisk tillgång till en företagsdator. Och för säkerhetsproblem som förekommer på enheter från stora datortillverkare, exempelvis de sårbarheter som mitt team har lärt sig att utnyttja, måste man anta att många företag har en svag länk i sitt säkerhetsarbete som de inte är helt medvetna om eller förberedda på att hantera”, sade Segerdahl.

Svagheten gör det möjligt för angripare med fysisk tillgång till en dator att utföra en kallstartsattack, en metod som varit känd av hackare sedan 2008. Kallstartsattacker innebär att starta om en dator utan att följa den rätta avstängningsprocessen och sedan återställa data som blir tillfälligt åtkomliga i RAM-minnet efter att strömmen kopplats från.

Moderna datorer skriver numera över RAM-minnet specifikt för att förhindra angripare från att använda kallstartsattacker för att stjäla data. Segerdahl och hans team har dock upptäckt att det finns en metod för att inaktivera överskrivningsprocessen och utföra den gamla kallstartsattacken.

”Det kräver några extra steg jämfört med den klassiska kallstartsattacken men det fungerar på alla moderna bärbara datorer som vi har testat. Och eftersom denna typ av hot främst är relevant i scenarier där enheter stjäls eller angriparen kommit över dem på olaglig väg finns det gott om tid att utföra attacken”, förklarade Segerdahl.

Attacken utnyttjar det faktum att inställningarna i den fasta programvaran som styr beteendet för startprocessen inte är skyddade mot manipulering av en fysisk angripare. Med ett enkelt maskinvaruverktyg kan en angripare programmera om det icke-flyktiga minneschippet som innehåller dessa inställningar, inaktivera överskrivningen av minnet och aktivera en systemstart från externa enheter. Kallstartsattacken kan sedan utföras genom att starta ett specialprogram från ett USB-minne.

”Eftersom den här attacken fungerar på den typ av bärbara datorer som många företag använder kan de inte känna sig säkra på att deras data är skyddade om en dator förloras. Och eftersom 99 procent av alla bärbara företagsdatorer innehåller sådant som inloggningsuppgifter till företagsnätverk får angripare en pålitlig metod för att utsätta företagsdatorer för risk”, sade Segerdahl. ”Det finns inte heller någon enkel lösning på problemet så det är en risk som företag får hantera på egen hand.”

Segerdahl har delat med sig av teamets resultat med Intel, Microsoft och Apple för att hjälpa datorbranschen att förbättra säkerheten i nuvarande och framtida produkter.

Eftersom Segerdahl inte förväntar sig några omedelbara åtgärder från branschen rekommenderar han att företag förbereder sig på dessa attacker. En metod är att konfigurera bärbara datorer för att automatiskt stängas av/gå i djup vila istället för att vänteläget aktiveras, och att kräva att användare anger Bitlocker PIN varje gång Windows startas eller återställs. Det är även viktigt att göra medarbetare, i synnerhet chefer och medarbetare som reser mycket, medvetna om kallstartsattacker. IT-avdelningar behöver även ha en incidentplan för att hantera bärbara datorer som stjäls.

”En snabb åtgärd som gör inloggningsuppgifterna ogiltiga gör stulna bärbara datorer mindre värdefulla för angripare. IT-säkerhetsansvariga och team som hanterar incidenter behöver öva på detta scenario och se till att företagets personal vet att de ska meddela IT-avdelningen omedelbart om en enhet stjäls eller förloras”, rekommenderar Segerdahl. ”Att planera för dessa händelser är bättre än att tro att enheter inte kan angripas fysiskt av hackare eftersom detta uppenbart inte stämmer.”

Segerdahl och hans kollega, Pasi Saarinen, säkerhetskonsult på F-Secure, presenterar sina resultat vid SEC-T-konferensen i Sverige 13 september och vid Microsofts BlueHat v18-konferens i USA 27 september.

 

Mer information
Microsofts dokumentation om Bitlocker-motåtgärder

F-Secures blogg: Kallstartsattacker är en skrämmande verklighet

 

Om F-Secure
Ingen kan cybersäkerhet som F-Secure. I tre årtionden har F-Secure varit drivande i innovation inom cybersäkerhet och hjälpt tiotusentals företag och miljontals människor att försvara sig mot angripare. F-Secure har en oöverträffad erfarenhet av slutpunktsskydd samt detektering och svar, och skyddar företag och konsumenter mot allt från avancerade cyberattacker och dataintrång till omfattande angrepp från utpressningstrojaner. F-Secures avancerade teknik kombinerar kraftfull maskininlärning med kunnandet hos våra världskända säkerhetslabb i en gemensam metod kallad Live Security. F-Secures säkerhetsexperter har deltagit i fler europeiska utredningar av cyberbrottslighet än något annat företag på marknaden och våra produkter säljs över hela världen av mer än 200 bredbands- och mobiloperatörer och tusentals återförsäljare.

F-Secure grundades 1988 och är noterat på NASDAQ OMX Helsinki Ltd.

f-secure.com twitter.com/fsecure | facebook.com/f-secure

 

Nedladdningar och andra godsaker

evil-maid-guide.pdf
cold_boot_attacks_infographic_final.pdf
Pressarkiv
Välj år

Senaste pressmeddelandena

February 18, 2020

Ny rapport visar att internetanvändare är överväldigade av oro för ID-stöld

En rapport från F-Secure visar att konsumenter är mycket oroliga för ID-stölder, F-Secure lanserar ett kostnadsfritt verktyg som hjälper människor att hitta utsatta data En ny rapport från cybersäkerhetsleverantören F-Secure visar att en stadig ström av stora dataintrång har lett till att majoriteten av konsumenter är oroliga för online-brott som leder till identitetsstöld och kapning […]

December 18, 2019

Populärt trådlöst presentationssystem hackas under 60 sekunder

F-Secures säkerhetskonsulter varnar för att de enheter som vi litar blint på även är angriparnas favoritmål. Konsulter hos cybersäkerhetsleverantören F-Secure har upptäckt flera brister i ett populärt trådlöst presentationssystem, varav vissa kan utnyttjas på mindre än 60 sekunder. Angripare kan använda bristerna för att avlyssna och manipulera information under presentationer, stjäla lösenord och annan konfidentiell […]

December 13, 2019

Säkerhetsproblem hos smart lås lämnar dörrar öppna för angripare

Ett designfel som har upptäckts i smart låset, KeyWe Smart Lock, belyser den pågående kampen för att skapa enheter som är både smarta och säkra. Konsulter hos cybersäkerhetsleverantören F-Secure har upptäckt en designbrist hos ett smart lås, vilket angripare kan utnyttja för att enkelt få åtkomst till enheten. Låsets oförmåga att ta emot uppdateringar av […]

December 2, 2019

Därför blir AI omänsklig

F-Secures nya forskningsprojekt tar inspiration från naturen för att ta utnyttjandet av AI till en ny nivå. Cybersäkerhetsleverantören F-Secure har lanserat ett nytt forskningsprojekt för att vidareutveckla de decentraliserade mekanismerna för artificiell intelligens (AI) som för närvarande används inom deras detektions- och responsteknologi. Initiativet, som kallas Project Blackfin, strävar efter att utnyttja tekniker för kollektiv […]

%d bloggers like this: