Porte Thunderbolt vulnerabili, sicurezza aggirabile in pochi minuti?

Il ricercatore di sicurezza Björn Ruytenberg della Eindhoven University of Technology ha identificato "Thunderspy", una serie di vulnerabilità che riguardano la tecnologia Thunderbolt (tutte le versioni) e quindi i dispositivi dotati di una porta dedicata, dai MacBook di Apple ai notebook Windows, dal 2011 al 2020. Secondo il ricercatore, Thunderspy non lascia tracce e aggira tutte le soluzioni di sicurezza della tecnologia Thunderbolt, permettendo così di spiare un sistema, in molti casi "senza che la vittima se ne accorga".

Affinché il tutto avvenga è necessario che un malintenzionato "abbia un breve accesso fisico al sistema", dopodiché può leggere e copiare tutti i dati, "anche se il disco è stato cifrato e il vostro computer era bloccato o in sospensione". Il metodo si basa su circa 400 dollari di equipaggiamento, ma richiede anche un dispositivo per programmare la memoria SPI e una periferica da circa 200 dollari per l'attacco DMA che aggiri la schermata di blocco. Secondo il ricercatore l'intera soluzione potrebbe essere inglobata in un singolo dispositivo per circa 10.000 dollari. "Un'agenzia formata da tre lettere (come la CIA, l'FBI, ecc.) non avrebbe problemi a miniaturizzare il tutto", ha affermato.

"Thunderspy funziona anche se seguite le migliori pratiche di sicurezza bloccando o sospendendo il vostro computer quando lo lasciate brevemente e se l'amministratore di sistema ha impostato il dispositivo con Secure Boot, password del BIOS e del sistema operativo forti e abilitato la crittografia completa del disco. Tutto ciò di cui il malintenzionato ha bisogno sono solo 5 minuti con il computer, un cacciavite e dell'hardware facilmente trasportabile". Il ricercatore ha identificato sette vulnerabilità e messo a punto nove scenari di exploit che definisce "realistici"; ha persino creato un tool libero e open source, Spycheck, per determinare se si è in possesso di un sistema vulnerabile.

"Abbiamo dimostrato la capacità di creare identità arbitrarie di dispositivi Thunderbolt, clonare dispositivi Thunderbolt autorizzati dall'utente e infine ottenere la connettività PCIe per eseguire attacchi DMA. Inoltre […] abbiamo dimostrato la possibilità di disabilitare in modo permanente la sicurezza di Thunderbolt e bloccare tutti i futuri aggiornamenti del firmware", si legge in un sito web dedicato a Thunderspy.

"Alcuni sistemi dal 2019 offrono la cosiddetta Kernel DMA Protection, e sono parzialmente vulnerabili", aggiunge il ricercatore. "Le falle non possono essere risolte via software e interessano anche i futuri standard USB 4 e Thunderbolt 4, e richiedono una riprogettazione dei chip".

Intel, che ha sviluppato la tecnologia, sembra però di diverso avviso e non molto preoccupata. "La vulnerabilità di base non è nuova, ed è stata affrontata nelle versioni del sistema operativo lo scorso anno; i ricercatori hanno dimostrato nuovi potenziali vettori di attacco fisico usando una periferica personalizzata su sistemi in cui queste mitigazioni non erano abilitate", si legge in un post.

"Nel 2019 i principali sistemi operativi hanno implementato la protezione Kernel Direct Memory Access (DMA) che mitigare attacchi come questi. Questi includono Windows (Windows 10 1803 RS4 e successivo), Linux (kernel 5.x e successivo) e macOS (macOS 10.12.4 e successivo). I ricercatori non hanno dimostrato attacchi DMA efficaci su sistemi con queste mitigazioni attive", sottolinea Intel, aggiungendo comunque che è sempre consigliabile usare periferiche sicure e non lasciare accesso fisico a persone non autorizzate. Intel promette comunque che continuerà a migliorare la sicurezza di Thunderbolt.

Secondo quanto spiegato dal ricercatore su Wired, la protezione Kernel DMA non sarebbe però universalmente implementata e i dispositivi Thunderbolt realizzati prima del 2019 sarebbero incompatibili con tale soluzione. Il ricercatore ha aggiunto di non aver rintracciato sistemi Dell con Kernel DMA Protection attiva, inclusi quelli del 2019 e successivi, mentre solo alcuni modelli HP e Lenovo recenti l'avrebbero implementata adeguatamente. Vi sarebbero quindi milioni di PC esposti.

Insomma, se da una parte il problema esiste, con tanto di dimostrazione in video, al tempo stesso sembrerebbero esserci già le mitigazioni (così almeno dice Intel), senza dimenticare che l'attacco richiede l'accesso fisico al PC e dell'hardware ad hoc per essere portato a termine. Insomma, non è un attacco attuabile da chiunque e non si può ritenere un caso comune. Forse il vero problema sono gli OEM e la loro proattività nell'implementare le misure di sicurezza, ma viste le posizioni discordanti è presto per puntare il dito.

Per quanto riguarda il mondo Apple invece, i computer sarebbero totalmente vulnerabili quando eseguono Bootcamp, mentre lo sarebbero parzialmente con macOS in funzione. Da ricordare in conclusione che recentemente Microsoft ha motivato l'assenza di porte Thunderbolt sui dispositivi Surface proprio chiamando in causa "ragioni di sicurezza". Evidentemente a Redmond, malgrado le misure integrate in Windows, sembrano vederla più come il ricercatore che come Intel.