To sikkerhetskonsulenter ved F-Secures svenske avdeling, Olle Segerdahl og Pasi Saarinen, demonstrerte under en sikkerhetskonferanse i dag en teknikk som gjør det mulig lese krypteringsnøkler og annen sensitiv informasjon fra minnet til pc-er, så lenge pc-en er forlatt mens den er i gang eller i hvilemodus («sleep mode»). Dette inkluderer også nøklene som brukes til fulldiskkryptering.
Cold Boot Attack
Framgangsmåten er egentlig et velkjent type angrep som kalles for Cold Boot Attack. Dette utnytter at minnet til pc-en ikke er så flyktig som en kanskje skulle tro. Det tar gjerne litt tid før ladningene som representerer nuller og ettall forsvinner. Denne tiden kan forlenges en del dersom minnet raskt kjøles ned i det pc-en skrus av. Dette skal ha vært kjent i minst ti år.
Men for å hindre dette, utfører fastvaren i de fleste pc-er en overskriving av minnet i det pc-en skrus av. Dermed blir alt som lå i minnet, slettet.
Det Segerdahl og Saarinen har fått til, er å deaktivere denne overskrivingsfunksjonen i pc-ene, ved å skrive over den ikke-flyktige minnebrikken hvor disse instruksjonene er lagret. Dette skal være mulig på i alle fall bærbare pc-er fra mange leverandører, inkludert Dell, Lenovo og Apple.
En slik deaktivering krever fysisk tilgang til enheten. Både RAM-brikken og fastvarebrikken må være avdekket før angrepet kan starte.
Straks minnet er nedkjølt – for eksempel med en kjølespray – og overskrivingsfunksjonen er deaktivert, kan pc-en bootes på nytt fra for eksempel en USB-enhet som inneholder et operativsystem og programvare til å dumpe alt som finnes i minnet ned på USB-enheten.
Saken fortsetter under videoen, hvor teknikken demonstreres.
Les også: Knekker kodelåsen i frysern
Ikke så enkelt
Mange vil nok si at dersom uvedkommende får tilgang til en pc, så er slaget tapt uansett. Men med moderne operativsystemer og fullt krypterte harddisker, er det langt fra enkelt å hente ut noe fra enheten, dersom en ikke vet passordet til brukeren.
Men med metoden til de svenske sikkerhetskonsulentene, er det mulig å lese nøkkelen som harddisken er kryptert med, siden denne er lagret i minnet til enheten så snart brukeren har blitt autentisert.
Segerdahl og Saarinen tror ikke at teknikken deres vil bli brukt i angrep mot helt ordinære pc-bruker. Til det er det for vanskelig å gjennomføre.
– Det er ikke enkelt å gjøre, men det er ikke så vanskelig at vi kan ignorere sannsynligheten for at noen angripere allerede har funnet ut dette, sier Segerdahl i et blogginnlegg fra F-Secure.
– Det er ikke akkurat det som vil bli brukt av angripere som leter etter enkle mål. Men det er noe angripere på jakt etter større fiks, slik som banker eller store selskaper, vil ha kunnskap til å bruke, fortsetter han.
Potensielle mottiltak
Problemet kan trolig ikke løses med programvare, men på i alle fall nyere maskiner, kan det trolig løses med en fastvareoppdatering. Mac-er med T2-brikken skal allerede være beskyttet mot denne typen angrep, men det er bare noen få modeller som har denne.
Samtidig er det en hel del brukerne selv kan gjøre for å unngå Cold Boot-angrep. Det enkleste er å ikke forlate maskinen uten å skru den helt av eller å sette den i dvalemodus («hibernation»).
Det å få pc-en til å kreve et passord allerede før operativsystemet lastes, såkalt BIOS- eller UEFI-passord, vil vanskeliggjøre ting noe. Sikkerhetskonsulentene anbefaler også at brukere av Microsofts Bitlocker-teknologi aktiverer kravet om PIN-kode ved oppstart og gjenoppretting.
– Når du tenker på alle de ulike datamaskinene, fra all de ulike selskapene og kombinerer dette med utfordringene ved å overbevise folk om å oppdatere, er det et virkelig vanskelig problem å løse på en enkel måte. Det vil ta en form for koordinert respons fra bransjen som ikke skjer over natten, sier Segerdahl.
Han mener det også er viktig å informere brukerne, blant ansatte i virksomheter, om at denne typen angrep kan skje.
– Noen ganger er det viktigste måten å håndtere et problem på, å la folk få vite om at det faktisk eksisterer. Litt bevissthetsbygging kan gjøre underverker, sier han.
Les også: Slik kan utro tjenere få tilgang til «alt» på sjefens pc (Digi ekstra)