Новая атака
Большинство современных компьютеров, даже тех, где используется шифрование диска, оказались уязвимы перед новой атакой, которая позволяет похитить с устройства данные за несколько минут. К такому выводу пришли исследователи безопасности из компании F-Secure, разработавшие указанную атаку.
Старший консультант по безопасности F-Secure Олле Сегердаль(Olle Segerdahl) сообщил изданию TechCrunch, что уязвимость затрагивает «почти все» ноутбуки и десктопы, работающие под управлением как Windows, так и операционных систем Apple.
Сущность атаки
Найденный специалистами F-Secure способ взлома базируется на широко известной атаке методом холодной перезагрузки, которую хакеры давно использовали для кражи данных с выключенных компьютеров. Но в современных компьютерах предусмотрена перезапись памяти в момент отключения питания, что помогает защитить данные от прочтения и делает эту атаку неэффективной.
Сегердаль и его коллега Паси Сааринен(Pasi Saarinen) нашли способ отключить перезапись памяти, что сделало вновь возможной атаку методом холодной перезагрузки. «Это потребовало нескольких дополнительных шагов», — отметил Сегердаль. Он добавил, что уязвимость «легко эксплуатировать», и что он будет «очень сильно удивлен», если эта техника не известна уже некоторым хакерским группировкам.
«Мы уверены, что любой человек, перед которым стояла задача украсть данные с ноутбука, пришел уже к тем же выводам, что и мы», — сообщил Сегердаль.
Шифрование диска
При условии наличия физического доступа к компьютеру шансы хакера украсть данные значительно повышаются. Именно поэтому так широко используется шифрование диска — например, BitLocker для Windows и FileVault для Macs — чтобы защитить данные на выключенном компьютере. Но атака, разработанная F-Secure, оказалась эффективной даже на устройствах, защищенных BitLocker и FileVault.
После того, как исследователи поняли, как отключить процесс перезаписи, им не составило труда создать инструмент, который лишает прошивку возможности вычистить память. Затем специалисты F-Secure запустили сканирование, чтобы найти ключи шифрования диска и использовать их для чтения данных. По словам Сегердаля, таким образом из компьютера можно извлечь не только ключи, но «что угодно, чему случилось оказаться в памяти», включая пароли и учетные данные для входа в корпоративную сеть, что может привести к дальнейшей компрометации данных.
Реакция компаний
F-Secure поделились своим открытием с Microsoft, Apple и Intel. Microsoft написала в обновленной статье о контрмерах в BitLocker, что использование начального PIN должно снизить риск атаки методом холодной перезагрузки, но пользователям Windows Home это мера недоступна. Компания посоветовала пользователям контролировать физический доступ посторонних к их устройствам.
Что касается Apple, то Mac с чипами T2 оказались неуязвимы для атаки F-Secure, но компания также порекомендовала использовать пароль в прошивке. T2 — это процессор для Mac второго поколения разработки Apple, у которого есть сопроцессор Secure Enclave, обеспечивающий улучшенное шифрование хранилища и безопасную загрузку. T2 применяется в iMac Pro и MacBook Pro начиная с 2018 г. Кроме того, Apple пообещала придумать, как защитить все остальные Mac.
Сегердаль считает, что Microsoft никак не может помочь решению проблемы, поскольку атака использует брешь в прошивке аппаратуры. Реально может помочь только Intel, но она пока не откликнулась на обращение исследователей.