Versleutelde laptops in slaapstand kwetsbaar voor fysieke aanval
Versleutelde computers en laptops in de slaapstand zijn kwetsbaar voor een nieuwe aanval waarbij een aanvaller met fysieke toegang encryptiesleutels en andere gevoelige informatie kan bemachtigen, zo waarschuwen onderzoekers van anti-virusbedrijf F-Secure.
Zogeheten cold boot-aanvallen bestaan al sinds 2008. Destijds ontdekten onderzoekers dat encryptiesleutels in het geheugen van de computer worden opgeslagen en niet meteen hieruit verdwijnen als het systeem niet op een juiste wordt uitgeschakeld en weer wordt ingeschakeld. Door de geheugenchips met stikstof te besproeien blijft de informatie lang genoeg aanwezig om te kunnen achterhalen. Hierop kwamen organisaties en fabrikanten met verschillende tegenmaatregelen.
Eén van de maatregelen van de Trusted Computing Group (TCG) was het overschrijven van de inhoud van het werkgeheugen wanneer de computer weer werd ingeschakeld. Onderzoekers van F-Secure ontdekten een manier om deze feature uit te schakelen, zodat de inhoud niet wordt overschreven. De instelling bevindt zich in een niet-vluchtige geheugenchip. De onderzoekers kunnen deze chip via een eenvoudige tool herprogrammeren en zo de overschrijffeature uitschakelen. Vervolgens kan er vanaf een extern apparaat worden opgestart en is een cold boot-aanval toch weer mogelijk.
De aanval zou tegen bijna alle moderne laptops werken en er is geen eenvoudige oplossing beschikbaar. De onderzoekers hebben hun bevindingen inmiddels met Microsoft, Intel en Apple gedeeld. De techbedrijven zouden naar oplossingen kijken. Gebruikers krijgen van de onderzoekers het advies om hun computers volledig uit te schakelen of voor hibernate te kiezen. Verder moeten organisatie hun gebruikers verplichten om hun Bitlocker-pincode in te voeren wanneer ze het systeem weer inschakelen.
Een aanvaller kan nog steeds een cold boot-aanval tegen dergelijke machines uitvoeren, maar de encryptiesleutels bevinden zich niet in het geheugen wanneer een machine is uitgeschakeld of hibernate. Zodoende kan een aanvaller geen waardevolle informatie stelen, aldus de onderzoekers. Verder zouden Macs met een Apple T2-chip tegen de aanval beschermd zijn. Apple geeft daarnaast het advies om een firmware-wachtwoord in te stellen voor Macs zonder deze chip.
Slaapstand is wel handig. Dit verhaal is natuurlijk alleen van toepassing op laptops met gevoelige informatie erop, daar zul je de slaapstand dus moeten blokkeren.
OK, we hebben de DMA aanval nog uit de tijd van de pcmcia pccard; deze is vernieuwd met DMA door het vervangen van de wifi-kaart door -iets anders-.
Cold-spray op geheugenchips en deze uitlezen is ook al een tijd niet meer iets voor oh-zo-geheime speciale mensen meer.
Daarnaast hebben we usb sticks met speciale firmware, Dell- en appel keyboards met hardware keyloggers in de firmware en zo kan ik nog wel even doorgaan.
Gelukkig komen Intel management crapware updates tegenwoordig ook automagish goed.
Het blijft echt beter om een computer uit tte zetten buiten gebruik. Denk wel na over de evil-maid aanval; evt mbv encrypted boot-partitie aan tpm en een gesloten plastic envelop met een teken van een marker oid.
En ja, ach, gebruik je Windows?
Full disk encryptie met een extra mogelijkheid omdat opnieuw opstarten voor de updates zonder gebruikersinteractie lekker makkelijk is, is een dwaze ontwerpkeuze. Vraag ook vooral niet waarom er bepaalde mogelijkheden op dit gebied met een security update zijn weggehaald.
Samengevat moet je het dreigingsniveau goed inschatten, je tijdplanningshorizon bepalen en daarop je gedrag en je tools aanpassen.
Slaapstand is wel handig. Dit verhaal is natuurlijk alleen van toepassing op laptops met gevoelige informatie erop, daar zul je de slaapstand dus moeten blokkeren.
Denk fout! Elke laptop is interessant, ook die van tante Truus. Dus ook die moet gewoon de boel uitzetten als je klaar bent. Tegenwoordig doe je alles via email of online bankieren. Die info wil je niet op straat hebben.
Maar wat dacht je van je prive foto's die niet voor de buitenwereld zijn bedoelt?
TheYOSH
Ik denk dat dit heel veel in zakelijke omgeving voorkomt. En daar zit juist de interessante informatie.
Maar wat dacht je van je prive foto's die niet voor de buitenwereld zijn bedoelt?
TheYOSH
Sexting etc.... Maak die geoon niet = Problem solved.
Tante trucs is niet interessant als ze niets interessants te bieden heeft. Is ze dat wel, hoed je voor de vleierij van (keniaanse) prinsen. De dreiging zit in de fysieke wereld.
Slaapstand is wel handig. Dit verhaal is natuurlijk alleen van toepassing op laptops met gevoelige informatie erop, daar zul je de slaapstand dus moeten blokkeren.
Gevoelige gegevens gaan niet buiten gemonitorde gevolgde omgevingen (tracking).
Ik heb het nog nooit gedaan maar het lijkt mij wel interessant.
Ik zou niet zoals in dit plaatje een CO2-bus op de kop houden (dat kan gruwelijk fout gaan) maar gewoon coldspray kopen die tot -45 gaat zonder risico voor de circuits.
Forensische onderzoekers zouden eens moeten leren om routine te maken laptops van slachtoffers van incidenten of daders die zeggen zelf gehackt te zijn, STANDAARD altijd te onderzoeken op residu van de bekende sprays. Vooral bij gevallen die rondreizen (zakenmensen en honeypots die hun laptop een dagje achterlaten in een hotel in land XXX/YYY).
Zo weet je precies welke plaatsen je moet vermijden, of juist niet :)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.