De Firewire-aanval die tijdens Hack in the Box Amsterdam werd gedemonstreerd, werkt ook tegen computers met Thunderbolt en eSata, zo laten de studenten in een interview met Security.nl weten. De aanval die Rory Breuk en Albert Spruyt, studenten System and Network Engineering aan de Universiteit van Amsterdam, tijdens HITB demonstreerden werkt zowel tegen Windows-, Linux- als Mac-computers. Door een FireWire-kabel aan te sluiten kunnen de studenten een dump van het geheugen maken en zo allerlei vertrouwelijke gegevens achterhalen, waaronder wachtwoorden en encryptiesleutels.

Het zijn echter niet alleen eigenaren van een computer met FireWire die zich zorgen moeten maken. Ook machines met Thunderbolt, eSata en PCMCIA PCCard/ExpressCard aansluitingen zijn kwetsbaar. Aanvallers kunnen via een FireWire-adapter voor bijvoorbeeld Thunderbolt toch de aanval uitvoeren. Alles wat Direct Memory Access (DMA) ondersteunt is kwetsbaar. "Ook al heb je geen FireWire, ook al heb je geen Thunderbolt, als je wel express card of PCMCIA hebt klik je voor 14 euro een adapter er aan en dan heb je ook zo'n interface", waarschuwen de studenten. Daarnaast is het ook mogelijk om de benodigde hardware op maat te maken.

Bouwtekening
Het probleem is dat er nog steeds computers met externe DMA-aansluitingen verschijnen. DMA is platform onafhankelijk en het probleem dat de studenten voor hun aanval misbruiken is een ontwerpprobleem. "Vergelijk het met het bouwen van een huis. Als jij een veilige bouwtekening voor een huis hebt, kun je best een veilig huis bouwen, als je een goede aannemer hebt. In dit geval bevat de bouwtekening van het huis gevaarlijke ontwerpfouten", merken de studenten op. "Ook al bouw je volgens de tekening, dan is het resultaat nog steeds dat je geen goed huis hebt."

De beste bescherming is volgens Spruyt en Breuk de input/output memory management unit (IOMMU). Een chip die op modernere hardware aanwezig is. Daarnaast wijzen de twee ook naar het besturingssysteem dat beveiligingsexpert Joanna Rutkowska aan het ontwikkelen is, onder andere om DMA-aanvallen te voorkomen.

Oplossing
De werkelijke oplossing is het vervangen van DMA. Het ontwerpprobleem is dat er een interface op zit met eigenschappen die niet extern beschikbaar zouden moeten zijn. FireWire mag dan aan populariteit verliezen, het probleem komt door Thunderbolt en eSata weer terug. In theorie zou het zelfs mogelijk zijn om een aanval direct op deze poorten uit te voeren, zonder FireWire-adapter. Zover is het nog niet, maar de kosten van een FireWire-adapter zijn zo laag dat dit een aanvaller niet zal tegenhouden. Daarnaast zijn er al real-life opties voor PCI.

De kans dat het probleem op korte termijn wordt opgelost lijkt onwaarschijnlijk. De oorzaak zit namelijk in de DMA-standaard zelf, niet de implementatie ervan. "Het probleem is dat mensen niet geloven dat het een probleem is, totdat ze het zien. Dat is misschien logisch voor security professionals, maar de doorsnee gebruiker moet het eerst zien of gehoord hebben dat het kan, anders bestaat het niet."

Door het toevoegen van de Firewall-aanval aan hacker-toolkit Metasploit, wordt het een stuk eenvoudiger om de aanval te laten zien. "Hopelijk komt de discussie omtrent dit probleem hiermee opnieuw opgang."

Misbruik
Sommige critici beweren dat het alleen een theoretische aanval betreft en de kans op actueel misbruik zeer klein is. De studenten erkennen dat het vooral voor aanvallers interessant is die gericht te werk gaan. Toch zijn er nog andere scenario's, zoals bijvoorbeeld een datacentrum waar een shared hosting-omgeving wordt aangeboden. Er zijn servers die over een FireWire-aansluiting beschikken en het is bij sommige kasten eenvoudig om een kabeltje naar binnen te werken. "Dit gereedschap is ook heel interessant voor gelegenheid aanvallers. Gelegenheid maakt nog altijd de dief."

Een ander scenario is het laten aannemen van een stagiair bij een multinational die deze aanval kan uitvoeren. Via de standaard laptop die veel bedrijven uitgeven kan vervolgens het adminwachtwoord worden achterhaal. De kans is vervolgens groot dat dit wachtwoord toegang tot veel meer machines geeft. "Zo kun je een hele omgeving compromitteren, beginnend bij het eerste punt, wat prima een FireWire-aanval kan zijn op middelen die het bedrijf zelf heeft uitgegeven." De studenten stellen dat het risicoprofiel hoger is dan veel mensen denken.

Risico
Systeembeheerders die hun omgeving willen beschermen krijgen het advies om de poorten, zoals FireWire, eSata en PCMCIA, in de BIOS uit te schakelen. "En dan echt alle poorten, niet alleen FireWire", benadrukken de twee studenten. Dat ondermijnt echter ook de functionaliteit van de computer. "Je moet je dan ook afvragen wat je te verdedigen, te verliezen hebt, en wat een aanvaller kan winnen. Als een aanvaller via wat eenvoudige software en hardware de inloggegevens van een zakelijke omgeving kan stelen, is dat niet in evenwicht."

Bedrijven die met vertrouwelijke gegevens omgaan doen er dan ook verstandig aan om het risico uit te sluiten en de functionaliteit uit te schakelen. "Denk niet dat jouw systemen niet op deze manier aangevallen zullen worden. Risico's die niet geadresseerd zijn, zijn de gevaarlijkste."