F-Secure: nowe notebooki podatne na wykradanie danych z RAM

Eksperci ds. bezpieczeństwa z F-Secure poinformowali opinię publiczną o nowo odkrytej podatności, na którą narażeni są prawie wszyscy użytkownicy nowszych notebooków. Chodzi o wykorzystanie exploita, który jest w stanie wykraść informacje z pamięci RAM, gdy komputer jest niepoprawnie zamykany lub wybudzany (z hibernacji i uśpienia). Atak, wykonywany podczas tzw. „cold boot” (zimny rozruch) jest w stanie obejść istniejące zabezpieczenia i „wyciągnąć” z RAM-u dane dotyczące zbuforowanych haseł, kluczy szyfrowania itd.

Nowoczesne notebooki korzystają z funkcji szybkiego uruchamiania. Polega to na tym, że pomimo kliknięcia „zamknij”, komputer nie jest w pełni wyłączany – część jądra nadal pracuje, dane w pamięci RAM także nie są w pełni kasowane. Pozwala to na znaczne skrócenie czasu ładowania systemu, szczególnie pomaga to użytkownikom korzystających ze standardowych dysków twardych. Rodzi to jednak pewne zagrożenia, jak np. przechwycenie danych z pamięci operacyjnej. Zagrożenie jest już znane od dziesięciu lat, dlatego prawie wszyscy producenci stosują algorytm, który nadpisuje dane w pamięci, tak aby były niemożliwe do odczytu.

Ujawniony sposób pozwala na ominięcie tych zabezpieczeń, jednak wymaga fizycznego dostępu do maszyny – trzeba użyć pendrive z wgranym exploitem. To znacząco obniża ryzyko masowego wykradania danych z np. firmowych komputerów, jednak przy odrobinie chęci, wrażliwe dane bankowe czy rządowe, mogą trafić w niepowołane ręce. F-Secure twierdzi, że zagrożone są głównie korporacje, gdzie nieuczciwa konkurencja może podesłać specjalnie oddelegowanego pracownika, który będzie miał za zadanie wykradać dane w sposób (prawie) niezauważalny dla zwykłego użytkownika, systemu ani oprogramowania antywirusowego. Brzmi, jak scenariusz z taniego filmu, jednak przypadki szpiegostwa korporacyjnego są znane na całym świecie.

O problemie powiadomieni zostali najwięksi producenci komputerów i oprogramowania, jak Microsoft, Apple, Dell oraz Lenovo. Nie ma póki co sposobu na całkowite wyeliminowanie zagrożenia, więc wspomniane firmy będą musiały zintegrować kolejne zabezpieczenia.

To, co można już teraz wykorzystać, to blokada komputera kodem PIN z funkcji BitLocker. Przed każdym uruchomieniem, niezależnie czy z hibernacji, uśpienia czy normalnego rozruchu, system przed załadowaniem poprosi o podanie kodu – być może będzie to uciążliwe, ale (raczej) skuteczne.