Versleutelde laptops in slaapstand kwetsbaar voor fysieke aanval

[Captain Kirk]

Versleutelde computers en laptops in de slaapstand zijn kwetsbaar voor een nieuwe aanval waarbij een aanvaller met fysieke toegang encryptiesleutels en andere gevoelige informatie kan bemachtigen, zo waarschuwen onderzoekers van anti-virusbedrijf F-Secure.

Zogeheten cold boot-aanvallen bestaan al sinds 2008. Destijds ontdekten onderzoekers dat encryptiesleutels in het geheugen van de computer worden opgeslagen en niet meteen hieruit verdwijnen als het systeem niet op een juiste wordt uitgeschakeld en weer wordt ingeschakeld. Door de geheugenchips met stikstof te besproeien blijft de informatie lang genoeg aanwezig om te kunnen achterhalen. Hierop kwamen organisaties en fabrikanten met verschillende tegenmaatregelen.

Eén van de maatregelen van de Trusted Computing Group (TCG) was het overschrijven van de inhoud van het werkgeheugen wanneer de computer weer werd ingeschakeld. Onderzoekers van F-Secure ontdekten een manier om deze feature uit te schakelen, zodat de inhoud niet wordt overschreven. De instelling bevindt zich in een niet-vluchtige geheugenchip. De onderzoekers kunnen deze chip via een eenvoudige tool herprogrammeren en zo de overschrijffeature uitschakelen. Vervolgens kan er vanaf een extern apparaat worden opgestart en is een cold boot-aanval toch weer mogelijk.

De aanval zou tegen bijna alle moderne laptops werken en er is geen eenvoudige oplossing beschikbaar. De onderzoekers hebben hun bevindingen inmiddels met Microsoft, Intel en Apple gedeeld. De techbedrijven zouden naar oplossingen kijken. Gebruikers krijgen van de onderzoekers het advies om hun computers volledig uit te schakelen of voor hibernate te kiezen. Verder moeten organisatie hun gebruikers verplichten om hun Bitlocker-pincode in te voeren wanneer ze het systeem weer inschakelen.

Een aanvaller kan nog steeds een cold boot-aanval tegen dergelijke machines uitvoeren, maar de encryptiesleutels bevinden zich niet in het geheugen wanneer een machine is uitgeschakeld of hibernate. Zodoende kan een aanvaller geen waardevolle informatie stelen, aldus de onderzoekers. Verder zouden Macs met een Apple T2-chip tegen de aanval beschermd zijn. Apple geeft daarnaast het advies om een firmware-wachtwoord in te stellen voor Macs zonder deze chip.

 

 

bron: security.nl