Enige jaren geleden is gedemonstreerd dat het mogelijk is om ongeautoriseerd toegang te krijgen tot het interne geheugen van een computer, door misbruik te maken van interfaces die DMA (Direct Memory Access) gebruiken. Aanvallers kunnen op deze manier een dump van het interne geheugen van een computer maken, waarna gezocht kan worden naar gevoelige gegevens als wachtwoorden en encryptiesleutels.
Daarnaast is het mogelijk om door de computer uitgevoerde code te wijzigen om zo bijvoorbeeld een schermbeveiliging te omzeilen. Het platformonafhankelijke concept van de aanval lijkt echter in de vergetelheid geraakt te zijn.
Opfrisbeurt
De Nederlandse studenten Rory Breuk en Albert Spruyt hebben de bekende FireWire-gebaseerde aanvallen
Hierdoor blijft het aangevallen systeem na het wijzigen van live code - anders dan bij aanvallen met eerder gepubliceerde tools - normaal reageren en wordt detectie van de aanval veel complexer. Ook is het mogelijk geworden om het doelsysteem verbinding te laten leggen met de aanvaller via TCP/IP. Als gevolg hiervan hoeft een aanvaller slechts seconden toegang te hebben tot de FireWire-poort van een doelsysteem waarna verdere interactie over IP elders en ongemerkt plaats kan vinden. Dit in tegenstelling tot de eerdere situatie waarin een aanvaller via FireWire zo lang verbonden moest blijven als de analyse duurde.
Metasploit
Als laatste is al het bovenstaande geïntegreerd in het populaire security-tool Metasploit waardoor gebruik gemaakt kan worden van geavanceerde functionaliteit die al in Metasploit aanwezig is. Toekomstige uitbreiding voor bijvoorbeeld ondersteuning van toekomstige platformen wordt zo ook een stuk laagdrempeliger.
Bewustzijn
Breuk en Spruyt, die System and Network Engineering aan de Universiteit van Amsterdam studeren, hopen dat het bewustzijn met betrekking tot DMA-aanvallen door hun werk zal groeien, zowel bij beheerpartijen als bij OS- en hardwareontwikkelaars. Het probleem lijkt immers al jaren genegeerd te worden met grote onnodige security-risico's voor bedrijven en individuen als gevolg. Met de komst van nieuwe DMA-interfaces als Thunderbolt lijken de aanvalsmogelijkheden zelfs uitgebreider te worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.