image

Versleutelde laptops in slaapstand kwetsbaar voor fysieke aanval

donderdag 13 september 2018, 10:47 door Redactie, 13 reacties

Versleutelde computers en laptops in de slaapstand zijn kwetsbaar voor een nieuwe aanval waarbij een aanvaller met fysieke toegang encryptiesleutels en andere gevoelige informatie kan bemachtigen, zo waarschuwen onderzoekers van anti-virusbedrijf F-Secure.

Zogeheten cold boot-aanvallen bestaan al sinds 2008. Destijds ontdekten onderzoekers dat encryptiesleutels in het geheugen van de computer worden opgeslagen en niet meteen hieruit verdwijnen als het systeem niet op een juiste wordt uitgeschakeld en weer wordt ingeschakeld. Door de geheugenchips met stikstof te besproeien blijft de informatie lang genoeg aanwezig om te kunnen achterhalen. Hierop kwamen organisaties en fabrikanten met verschillende tegenmaatregelen.

Eén van de maatregelen van de Trusted Computing Group (TCG) was het overschrijven van de inhoud van het werkgeheugen wanneer de computer weer werd ingeschakeld. Onderzoekers van F-Secure ontdekten een manier om deze feature uit te schakelen, zodat de inhoud niet wordt overschreven. De instelling bevindt zich in een niet-vluchtige geheugenchip. De onderzoekers kunnen deze chip via een eenvoudige tool herprogrammeren en zo de overschrijffeature uitschakelen. Vervolgens kan er vanaf een extern apparaat worden opgestart en is een cold boot-aanval toch weer mogelijk.

De aanval zou tegen bijna alle moderne laptops werken en er is geen eenvoudige oplossing beschikbaar. De onderzoekers hebben hun bevindingen inmiddels met Microsoft, Intel en Apple gedeeld. De techbedrijven zouden naar oplossingen kijken. Gebruikers krijgen van de onderzoekers het advies om hun computers volledig uit te schakelen of voor hibernate te kiezen. Verder moeten organisatie hun gebruikers verplichten om hun Bitlocker-pincode in te voeren wanneer ze het systeem weer inschakelen.

Een aanvaller kan nog steeds een cold boot-aanval tegen dergelijke machines uitvoeren, maar de encryptiesleutels bevinden zich niet in het geheugen wanneer een machine is uitgeschakeld of hibernate. Zodoende kan een aanvaller geen waardevolle informatie stelen, aldus de onderzoekers. Verder zouden Macs met een Apple T2-chip tegen de aanval beschermd zijn. Apple geeft daarnaast het advies om een firmware-wachtwoord in te stellen voor Macs zonder deze chip.

Image

Reacties (13)
13-09-2018, 11:10 door Anoniem
Mooi verhaal, maar de slaapstand-functie wordt standaard bij mij in elk OS uitgeschakeld.
13-09-2018, 11:56 door Anoniem
gevalletje open deur in trappen hoor, wie denkt dat disk encryptie je beschermt als je computer aan staat (dus ook in slaap stand) snapt niet hoe full disk encryptie werkt.
13-09-2018, 12:07 door [Account Verwijderd]
Door Anoniem: Mooi verhaal, maar de slaapstand-functie wordt standaard bij mij in elk OS uitgeschakeld.

Slaapstand is wel handig. Dit verhaal is natuurlijk alleen van toepassing op laptops met gevoelige informatie erop, daar zul je de slaapstand dus moeten blokkeren.
13-09-2018, 12:57 door Anoniem
Bij Apple computers kan je er ook voor zorgen dat de encryptie sleutels uit het RAM geheugen worden verwijderd bij slaap stand. Zie: http://mattwashchuk.com/articles/2016/01/08/maximizing-filevault-security
13-09-2018, 13:31 door Anoniem
Zucht. Dus toch altijd maar shutten dan voor vervoer.
13-09-2018, 14:20 door Anoniem
Zeer knap gevonden en helaas dus nog niet te mitigeren.


OK, we hebben de DMA aanval nog uit de tijd van de pcmcia pccard; deze is vernieuwd met DMA door het vervangen van de wifi-kaart door -iets anders-.
Cold-spray op geheugenchips en deze uitlezen is ook al een tijd niet meer iets voor oh-zo-geheime speciale mensen meer.
Daarnaast hebben we usb sticks met speciale firmware, Dell- en appel keyboards met hardware keyloggers in de firmware en zo kan ik nog wel even doorgaan.
Gelukkig komen Intel management crapware updates tegenwoordig ook automagish goed.

Het blijft echt beter om een computer uit tte zetten buiten gebruik. Denk wel na over de evil-maid aanval; evt mbv encrypted boot-partitie aan tpm en een gesloten plastic envelop met een teken van een marker oid.

En ja, ach, gebruik je Windows?
Full disk encryptie met een extra mogelijkheid omdat opnieuw opstarten voor de updates zonder gebruikersinteractie lekker makkelijk is, is een dwaze ontwerpkeuze. Vraag ook vooral niet waarom er bepaalde mogelijkheden op dit gebied met een security update zijn weggehaald.

Samengevat moet je het dreigingsniveau goed inschatten, je tijdplanningshorizon bepalen en daarop je gedrag en je tools aanpassen.
13-09-2018, 15:03 door Anoniem
Door linux4:
Door Anoniem: Mooi verhaal, maar de slaapstand-functie wordt standaard bij mij in elk OS uitgeschakeld.

Slaapstand is wel handig. Dit verhaal is natuurlijk alleen van toepassing op laptops met gevoelige informatie erop, daar zul je de slaapstand dus moeten blokkeren.

Denk fout! Elke laptop is interessant, ook die van tante Truus. Dus ook die moet gewoon de boel uitzetten als je klaar bent. Tegenwoordig doe je alles via email of online bankieren. Die info wil je niet op straat hebben.

Maar wat dacht je van je prive foto's die niet voor de buitenwereld zijn bedoelt?

TheYOSH
13-09-2018, 15:33 door Anoniem
Door Anoniem: Mooi verhaal, maar de slaapstand-functie wordt standaard bij mij in elk OS uitgeschakeld.
Mooi verhaal, maar omdat jij het hebt uitgeschakeld betekent niet dat er geen probleem is.
Ik denk dat dit heel veel in zakelijke omgeving voorkomt. En daar zit juist de interessante informatie.
13-09-2018, 16:28 door Anoniem
Ik heb toch echt even een déjà vu gevoel, dit was een jaar of 3 geleden toch ook al nieuws?
13-09-2018, 17:34 door karma4
Door Anoniem: ....
Maar wat dacht je van je prive foto's die niet voor de buitenwereld zijn bedoelt?

TheYOSH

Sexting etc.... Maak die geoon niet = Problem solved.
Tante trucs is niet interessant als ze niets interessants te bieden heeft. Is ze dat wel, hoed je voor de vleierij van (keniaanse) prinsen. De dreiging zit in de fysieke wereld.
13-09-2018, 17:37 door karma4
Door linux4:
Slaapstand is wel handig. Dit verhaal is natuurlijk alleen van toepassing op laptops met gevoelige informatie erop, daar zul je de slaapstand dus moeten blokkeren.
Laptops met gevoelige gegevens? Shadow ict met gevoelige gegevens je noemt het probleem wat je moet aanpakken.
Gevoelige gegevens gaan niet buiten gemonitorde gevolgde omgevingen (tracking).
14-09-2018, 02:14 door Anoniem
Ook Truecrypt en Keepass bewaren keys in het geheugen. Als je fysieke toegang hebt hoef je maar te freezen.

Ik heb het nog nooit gedaan maar het lijkt mij wel interessant.

Ik zou niet zoals in dit plaatje een CO2-bus op de kop houden (dat kan gruwelijk fout gaan) maar gewoon coldspray kopen die tot -45 gaat zonder risico voor de circuits.

Forensische onderzoekers zouden eens moeten leren om routine te maken laptops van slachtoffers van incidenten of daders die zeggen zelf gehackt te zijn, STANDAARD altijd te onderzoeken op residu van de bekende sprays. Vooral bij gevallen die rondreizen (zakenmensen en honeypots die hun laptop een dagje achterlaten in een hotel in land XXX/YYY).

Zo weet je precies welke plaatsen je moet vermijden, of juist niet :)
14-09-2018, 10:32 door Anoniem
Wat gebeurt er als een systeem vanuit hibernate wordt aangezet?
Wordt de decryption key dan in het geheugen geladen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.