Problem wynika z braku odpowiednich zabezpieczeń w procesie uruchamiania systemu, co pozwala
wykonać znany już od dekady atak nazywany „Cold Boot” (ang. cold – zimny, boot – uruchomienie
komputera) 1 . Producenci sprzętu wprowadzili między innymi szyfrowanie dysku za pomocą narzędzi
takich jak BitLocker, aby uniemożliwić uzyskanie dostępu, jednak eksperci F-Secure odkryli, że z
niewielką modyfikacją Cold Boot można nadal skutecznie przeprowadzić.
Laptopy na celowniku
1 Atak polega na odczytaniu danych z pamięci RAM po odcięciu zasilania, np. gdy komputer zostaje ponownie uruchomiony bez zamknięcia systemu. Wymaga schłodzenia pamięci do minusowych temperatur, co daje hakerowi kilka minut na odczytanie danych.
Problem dotyczy niemal wszystkich użytkowników komputerów, ale szczególnie zagrożone są firmy i
organizacje. W świetle nowego odkrycia każdy zgubiony czy skradziony służbowy laptop stanowi
ryzyko, gdyż najprawdopodobniej zawiera wrażliwe dane, np. uwierzytelniające dostęp do firmowej
sieci.
– Firmy rzadko przygotowane są na fizyczny atak hakerów – mówi Olle Segerdahl, główny
konsultant ds. bezpieczeństwa w F-Secure, który odkrył problem. – Tymczasem zagrożenie
może stanowić każdy komputer zostawiony w pokoju hotelowym czy skradziony na lotnisku podczas
podróży służbowej. Przetestowaliśmy laptopy największych producentów i za każdym razem
uzyskaliśmy dostęp. To oznacza, że zdecydowana większość organizacji jest w grupie ryzyka –
dodaje Segerdahl.
Jednocześnie nie ma prostego sposobu ochrony urządzeń przed zagrożeniem. O swoim odkryciu F-
Secure powiadomił firmy Intel, Microsoft i Apple, jednak problem nie wynika z pojedynczej luki w
oprogramowaniu i Sagerdahl nie spodziewa się natychmiastowego rozwiązania. Jak zaznacza,
producenci powinni lepiej chronić użytkowników przed atakami, w których zakładamy fizyczny dostęp
hakerów do komputera. Jednak w niektórych przypadkach może to wymagać zmian na poziomie
sprzętowym, niemożliwych do zastosowania w modelach dostępnych obecnie na rynku.
Jak chronić się przed atakiem?
Największe ryzyko wiąże się z zostawianiem „uśpionego” komputera. Ma to związek z kluczami
szyfrującymi dane – w tym trybie pozostają one w pamięci RAM, więc są możliwe do odczytania przez
cyberprzestępcę. W celu uzyskania praktycznie nieograniczonego dostępu do zawartości
komputera: haseł, dokumentów czy danych, wystarczy wówczas uruchomić odpowiedni program za
pomocą pamięci USB lub w inny sposób skopiować zawartość nadal zasilanej pamięci RAM, w której
znajdują się klucze szyfrujące. Natomiast gdy komputer przechodzi w stan hibernacji lub zostaje
wyłączony, klucze szyfrujące przenoszone są z pamięci RAM na zaszyfrowany dysk twardy.
Użytkownicy powinni więc tak skonfigurować sprzęt, aby laptopy automatycznie wyłączały się lub
przechodziły w stan hibernacji, gdy nie są używane. Warto również zadbać o funkcję dodatkowego
uwierzytelniania przed startem systemu, np. przez nadanie kodu PIN w programie BitLocker.
– Równie ważne jest uświadamianie o zagrożeniu pracowników, zwłaszcza kadry kierowniczej i
podróżujących służbowo. Działy IT powinny mieć także gotowy plan działania w sytuacji zgubienia czy
kradzieży firmowego komputera, aby zdalnie zablokować konto użytkownika i starać się
zminimalizować ryzyko wycieku danych. Wierzymy, że upublicznienie naszego odkrycia to najszybszy
sposób dotarcia do użytkowników, a także zwrócenia uwagi na problem niewystarczających
zabezpieczeń w obecnych modelach komputerów – podsumowuje Olle Segerdahl.