Alcuni ricercatori della F-Secure hanno scoperto un nuovo metodo di attacco che permette di rubare password, chiavi di criptazione e altri dati sensibili anche in presenza di un disco criptato. L’attacco è una nuova variante del Cold Boot Attacks.
Le origini dell’attacco
L’attacco in questione, la prima variante, era stata scoperta nel 2008 ma, nel mentre, una nuova protezione era stata introdotta dal Trusted Computing Group la quale andava a sovrascrivere il contenuto della memoria RAM dopo una ripresa dalla sospensione o standby.
Come funziona la nuova variante
I ricercatori hanno individuato un metodo per disabilitare questa protezione andando ad agire nel firmware del computer. Nel blogpost di F-Secure si trova un immagine che mostra chiaramente il metodo adottato per l’attacco:
Gli obiettivi per un attacco di questo genere sono grandi aziende o istituti finanziari, vista anche la complessità dell’attacco. Noi utenti, ad ogni modo, possiamo prendere delle contromisure.
E’ possibile stare al sicuro?
Attualmente sembra che non ci sia FIX per risolvere questo problema. Per ora è possibile prendere delle contromisure, come suggerito dai ricercatori, che sono:
- Non sospendere o usare lo standby per il sistema, è opportuno arrestare il sistema o al limite usare l’ibernazione
- Attivare BitLocker ed impostare che venga richiesto ad ogni avvio un PIN di sicurezza
In questa maniera anche se un malintenzionato avesse l’accesso al nostro computer non potrebbe recuperare alcuna chiave o password, in quanto in queste condizioni NON vengono salvate nella memoria RAM.
Di seguito un video pubblicato da F-Secure che mostra l’attacco:
Approfondimenti: The Chilling Reality of Cold Boot Attacks