Porte Thunderbolt vulnerabili, sicurezza aggirabile in pochi minuti?

Porte Thunderbolt vulnerabili, sicurezza aggirabile in pochi minuti?

Un ricercatore della Eindhoven University of Technology ha illustrato Thunderspy, un insieme di vulnerabilità della tecnologia Thunderbolt che darebbero accesso totale alle informazioni presenti su un PC.

di pubblicata il , alle 16:20 nel canale Sicurezza
AppleIntelMicrosoftLinuxWindowsThunderbolt
 

Il ricercatore di sicurezza Björn Ruytenberg della Eindhoven University of Technology ha identificato "Thunderspy", una serie di vulnerabilità che riguardano la tecnologia Thunderbolt (tutte le versioni) e quindi i dispositivi dotati di una porta dedicata, dai MacBook di Apple ai notebook Windows, dal 2011 al 2020. Secondo il ricercatore, Thunderspy non lascia tracce e aggira tutte le soluzioni di sicurezza della tecnologia Thunderbolt, permettendo così di spiare un sistema, in molti casi "senza che la vittima se ne accorga".

Affinché il tutto avvenga è necessario che un malintenzionato "abbia un breve accesso fisico al sistema", dopodiché può leggere e copiare tutti i dati, "anche se il disco è stato cifrato e il vostro computer era bloccato o in sospensione". Il metodo si basa su circa 400 dollari di equipaggiamento, ma richiede anche un dispositivo per programmare la memoria SPI e una periferica da circa 200 dollari per l'attacco DMA che aggiri la schermata di blocco. Secondo il ricercatore l'intera soluzione potrebbe essere inglobata in un singolo dispositivo per circa 10.000 dollari. "Un'agenzia formata da tre lettere (come la CIA, l'FBI, ecc.) non avrebbe problemi a miniaturizzare il tutto", ha affermato.

"Thunderspy funziona anche se seguite le migliori pratiche di sicurezza bloccando o sospendendo il vostro computer quando lo lasciate brevemente e se l'amministratore di sistema ha impostato il dispositivo con Secure Boot, password del BIOS e del sistema operativo forti e abilitato la crittografia completa del disco. Tutto ciò di cui il malintenzionato ha bisogno sono solo 5 minuti con il computer, un cacciavite e dell'hardware facilmente trasportabile". Il ricercatore ha identificato sette vulnerabilità e messo a punto nove scenari di exploit che definisce "realistici"; ha persino creato un tool libero e open source, Spycheck, per determinare se si è in possesso di un sistema vulnerabile.

"Abbiamo dimostrato la capacità di creare identità arbitrarie di dispositivi Thunderbolt, clonare dispositivi Thunderbolt autorizzati dall'utente e infine ottenere la connettività PCIe per eseguire attacchi DMA. Inoltre […] abbiamo dimostrato la possibilità di disabilitare in modo permanente la sicurezza di Thunderbolt e bloccare tutti i futuri aggiornamenti del firmware", si legge in un sito web dedicato a Thunderspy.

"Alcuni sistemi dal 2019 offrono la cosiddetta Kernel DMA Protection, e sono parzialmente vulnerabili", aggiunge il ricercatore. "Le falle non possono essere risolte via software e interessano anche i futuri standard USB 4 e Thunderbolt 4, e richiedono una riprogettazione dei chip".

Intel, che ha sviluppato la tecnologia, sembra però di diverso avviso e non molto preoccupata. "La vulnerabilità di base non è nuova, ed è stata affrontata nelle versioni del sistema operativo lo scorso anno; i ricercatori hanno dimostrato nuovi potenziali vettori di attacco fisico usando una periferica personalizzata su sistemi in cui queste mitigazioni non erano abilitate", si legge in un post.

"Nel 2019 i principali sistemi operativi hanno implementato la protezione Kernel Direct Memory Access (DMA) che mitigare attacchi come questi. Questi includono Windows (Windows 10 1803 RS4 e successivo), Linux (kernel 5.x e successivo) e macOS (macOS 10.12.4 e successivo). I ricercatori non hanno dimostrato attacchi DMA efficaci su sistemi con queste mitigazioni attive", sottolinea Intel, aggiungendo comunque che è sempre consigliabile usare periferiche sicure e non lasciare accesso fisico a persone non autorizzate. Intel promette comunque che continuerà a migliorare la sicurezza di Thunderbolt.

Secondo quanto spiegato dal ricercatore su Wired, la protezione Kernel DMA non sarebbe però universalmente implementata e i dispositivi Thunderbolt realizzati prima del 2019 sarebbero incompatibili con tale soluzione. Il ricercatore ha aggiunto di non aver rintracciato sistemi Dell con Kernel DMA Protection attiva, inclusi quelli del 2019 e successivi, mentre solo alcuni modelli HP e Lenovo recenti l'avrebbero implementata adeguatamente. Vi sarebbero quindi milioni di PC esposti.

Insomma, se da una parte il problema esiste, con tanto di dimostrazione in video, al tempo stesso sembrerebbero esserci già le mitigazioni (così almeno dice Intel), senza dimenticare che l'attacco richiede l'accesso fisico al PC e dell'hardware ad hoc per essere portato a termine. Insomma, non è un attacco attuabile da chiunque e non si può ritenere un caso comune. Forse il vero problema sono gli OEM e la loro proattività nell'implementare le misure di sicurezza, ma viste le posizioni discordanti è presto per puntare il dito.

Per quanto riguarda il mondo Apple invece, i computer sarebbero totalmente vulnerabili quando eseguono Bootcamp, mentre lo sarebbero parzialmente con macOS in funzione. Da ricordare in conclusione che recentemente Microsoft ha motivato l'assenza di porte Thunderbolt sui dispositivi Surface proprio chiamando in causa "ragioni di sicurezza". Evidentemente a Redmond, malgrado le misure integrate in Windows, sembrano vederla più come il ricercatore che come Intel.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

5 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
gatto2311 Maggio 2020, 18:29 #1
Siamo alle solite; la classica prova di forza che i team di professionisti del settore proverebbero a sventolare ai 4 venti ma che all'atto pratico farebbe impallidire Daniel Craig o Tom Cruise con scenari fantasiosi e/o poco probabili da replicare.
Per carità la sicurezza informatica è fondamentale ed intel su questo dimostra che deve lavorare molto anche per le future CPU al fine di ridurre al minimo i rischi ma da che mondo e mondo qualsiasi cassaforte si può aprire, la domanda però è a che prezzo?
WarSide11 Maggio 2020, 18:38 #2
Originariamente inviato da: gatto23
Siamo alle solite; la classica prova di forza che i team di professionisti del settore proverebbero a sventolare ai 4 venti ma che all'atto pratico farebbe impallidire Daniel Craig o Tom Cruise con scenari fantasiosi e/o poco probabili da replicare.
Per carità la sicurezza informatica è fondamentale ed intel su questo dimostra che deve lavorare molto anche per le future CPU al fine di ridurre al minimo i rischi ma da che mondo e mondo qualsiasi cassaforte si può aprire, la domanda però è a che prezzo?


Stiamo parlando di root access in 5 minuti. Anche un ragazzino di un liceo informatico riuscirebbe a sfruttare questa falla, figuriamoci agenti di polizia.

Se io fossi un attivista/giornalista e lavorassi in nazioni non propriamente amiche dei giornalisti (Russia? Cina? Corea?), mi guarderei bene dall'usare qualsiasi dispositivo con porta TB.
Cappej11 Maggio 2020, 18:42 #3
Originariamente inviato da: WarSide
Stiamo parlando di root access in 5 minuti. Anche un ragazzino di un liceo informatico riuscirebbe a sfruttare questa falla, figuriamoci agenti di polizia.

Se io fossi un attivista/giornalista e lavorassi in nazioni non propriamente amiche dei giornalisti (Russia? Cina? Corea?), mi guarderei bene dall'usare qualsiasi dispositivo con porta TB.


Vero... E comunque è bene che queste problematiche siano rese pubbliche e "tappate" poiché, che ci piaccia o no, il tb3 è tb4 sono gli sta dars del futuro, neppure così lontano.
jepessen11 Maggio 2020, 20:13 #4
Se le porte le implementava Microsoft avrebbero gridato tutti allo scandalo... Ma siccome ha deciso di non implementarle per questi motivi di sicurezza mentre li usa Apple allora "eeehhh ma tanto manco gli 007 ci riescono", ed ovviamente non è così.
Est®emo12 Maggio 2020, 15:28 #5
Non sono sicuro sui Mac recenti con chip T1 o T2 si possa bypassare la sicurezza, dato che la crittografia è gestita internamente da un chip ARM. Evidentemente Apple era al corrente come Microsoft della falla, ma è stata più prudente montando un chip proprietario.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^