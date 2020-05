Di Pierguido Iezzi

Intel ha confermato pubblicamente una vulnerabilità che potrebbe risultare critica su milioni di computer che operano il sistema operativo a marchio Windows. Il cosiddetto exploit “Thunderspy” consente a un ipotetico aggressore di leggere e copiare tutti i dati, anche se l’hard disk è criptato e il vostro computer è bloccato o in standby.

Questo tipo di vulnerabilità è noto come un attacco “evil maid”, un attacco a un dispositivo non sorvegliato, in cui un aggressore con accesso fisico lo altera in qualche modo non rilevabile in modo da poter accedere successivamente al dispositivo, o ai dati su di esso .

Il punto è che è necessario l’accesso fisico a una macchina, lontano dalla vista di chi guarda.

Secondo un ricercatore della Eindhoven University of Technology Björn Ruytenberg, la vulnerabilità colpisce tutti i computer con porte Thunderbolt, il che significa macchine spedite a partire dal 2011, anche se le macchine spedite nell’ultimo anno o giù di lì hanno avuto accesso al Kernel Direct Memory Access (DMA) per rimediare al difetto, non è chiaro quante lo abbiano abilitato di default.

L’attacco

Thunderspy è per natura furtivo, il che significa che non si trovano tracce dell’attacco. Armato di qualche centinaio di dollari di kit, un aggressore può fisicamente cablare una macchina e tirarne fuori i dati, anche se la macchina è bloccata o sospesa e anche se i dati sono criptati.

Anche se si seguono le migliori pratiche di sicurezza, bloccando o sospendendo il computer, impostando il dispositivo con Secure Boot, un BIOS forte e le password degli account del sistema operativo e ha abilitato la crittografia completa del disco, tutto ciò di cui l’aggressore ha bisogno sono cinque minuti da solo con il computer, un cacciavite e un hardware facilmente trasportabile.

Dovresti essere preoccupato? Sì e no. Il rischio è reale, come confermato da Intel, ma solo una piccola percentuale di utenti verrebbe mai attaccata in questo modo. Non si tratta di un attacco di malware, con codice piantato sulla vostra macchina attraverso un allegato email dannoso. Si tratta di un attacco mirato e ad alto rischio, ma la vostra macchina fisica deve essere accessibile e ci deve essere un motivo serio perché un aggressore voglia estrarre i vostri dati.

Ciò che conferma, tuttavia, è che esiste un vettore di attacco attraverso il quale si possono compromettere rapidamente le macchine bloccate.

“Per tutti i sistemi”, ha detto Intel nella sua risposta al rapporto sulla sicurezza, “raccomandiamo di seguire le pratiche di sicurezza standard, compreso l’uso di sole periferiche fidate e di impedire l’accesso fisico non autorizzato ai computer”.

Se sei in viaggio, è più facile a dirsi che a farsi. E questo non è solo un rischio per i funzionari governativi o gli operatori, pensa ai leader d’affari in viaggio all’estero, alle delegazioni, alle negoziazioni.

Ruytenberg, descivendo la vulnerabilità, elenca nove scenari di sfruttamento pratico – dimostriamo la capacità di creare identità di dispositivi Thunderbolt arbitrarie, di clonare dispositivi Thunderbolt autorizzati dall’utente, e infine di ottenere la connettività PCIe per eseguire attacchi DMA.

Ovvio si tratta di un attacco specifico e molto più raro di un classico malware, ma dimostra ancora una volta come nessuna misura di sicurezza sia insorpassabile per troppo tempo.

Nel frattempo, Intel ha detto che affronterà le criticità predisponendo contromisure adeguate.