15.9.2018 16:20 | Bezpečnosť

Nový typ útoku: Hackeri môžu ukradnúť citlivé informácie z pamäte RAM

Ilustračná snímka
Dotknutí výrobcovia hardvéru a softvéru riešia situáciu rôzne. Zdroj: iStock

Bezpečnostná funkcia, ktorá mala zabrániť únikom dát z operačnej pamäte sa dá vypnúť. Stačí prepísať firmvér.

Počítačoví experti odhalili nový spôsob útoku, ktorému môžu podľahnúť prakticky všetky moderné počítače. Vďaka kombinácii starej techniky spolu s novo odhalenou slabinou možno z operačnej pamäte RAM ukradnúť heslá, šifrovacie kľúče a ďalšie citlivé údaje.

Bližšie informácie o výskume zverejnil portál ZDNet.

Nejde o úplnú novinku

Takzvané Cold boot útoky sú známe už minimálne desať rokov, pričom ich hlavným cieľom je krádež dát priamo z pamäte RAM. Počítačoví zločinci či orgány činné v trestnom konaní mohli vďaka tejto technike získať údaje, ktoré zostali v pamäti aj krátko po vypnutí počítača.

Na archívnej snímke lietadlá spoločnosti British Airways.
Čítajte aj Na hacknutie British Airways stačilo iba 22 riadkov kódu

Konzorcium popredných výrobcov hardvéru a softvéru, spoločnosti AMD, Hewlett-Packard, IBM, Intel a Microsoft však vytvorili bezpečnostný mechanizmus, ktorý mal uvedeným útokom zabrániť. Funkcia známa ako TCG Reset Attack Mitigation alebo MORLock (Memory Overwrite Request Control) jednoducho prepíše obsah pamäte RAM po každom obnovení napájania.

V praxi sa tak pamäť vymaže po reštarte aj po vypnutí počítača.

Stačí prepísať firmvér

Výskumníci z bezpečnostnej spoločnosti F-Secure však vytvorili novú techniku, vďaka ktorej je TCG, respektíve MORLock neúčinné. Stačí pritom túto funkciu deaktivovať na úrovni firmvéru. Následne, po vynútenom reštarte a zmrazení pamäťových čipov možno opäť obnoviť citlivé dáta uložené v RAM.

Schéma útoku. fotogaléria / 2
Schéma útoku. Zdroj: F-Secure

V rámci názornej demonštrácie bolo zverejnené aj ukážkové video. Z neho je zrejmé, že pripravený hacker dokáže celú záškodnícku aktivitu vykonať v priebehu pár minút.

Vo videu vidieť legitímneho používateľa, ktorý otvoril dokument obsahujúci tajné heslá. Následne notebook zatvoril, čím došlo k jeho uspatiu a odišiel. Príležitosti sa však chopil útočník, ktorý tento notebook vzal a rozobral, aby získal prístup k pamäťovým čipom.

Útočník potom sprejom zmrazí pamäťové čipy, špeciálnym zariadením prepíše firmvér počítača a cielene odpojí a následne pripojí zdroj energie. Napokon nabootuje z USB kľúča hackerský softvér, ktorý v tomto prípade obnoví tajné heslá z dokumentu.

Zraniteľné sú takmer všetky počítače

Počítačoví experti pripúšťajú, že realizácia uvedeného útoku je relatívne komplikovaná, no na druhej strane aj vysoko efektívna. Účinná je proti takmer všetkým moderným počítačom vrátane systémov Apple Mac. Nová technika by tak mohla byť zneužitá hackermi v úzko cielených hackerských kampaniach, prípadne by mohla poslúžiť napríklad v priebehu policajného vyšetrovania.

Čítajte aj Video: Ako sme sa dostali od hesla k tvárovej biometrii

A ako sa chrániť? Výskumníci odporúčajú nastaviť systém tak, aby sa buď vypol, alebo prešiel do režimu dlhodobého spánku (hibernácia). Režim spánku (uspatie) je totiž mimoriadne náchylný na vyzradenie citlivých údajov uložených v operačnej pamäti.

Situáciu riešia rôzne

Spoločnosti Microsoft, Intel a Apple boli o výskume informované v predstihu, aby stihli adekvátne zareagovať na vzniknutú situáciu.

Microsoft v tejto súvislosti aktualizoval dokumentáciu k šifrovaciemu nástroju BitLocker. Aktuálne sa tam nachádza niekoľko usmernení a varovanie, že implementácia funkcie TCG, respektíve MORLock nie je odolná voči fyzickým útokom. Detailná správa Microsoftu je zverejnená na tomto odkaze.

Spoločnosť Apple uviedla, že najnovšia generácia počítačov Mac je pred touto hrozbou dostatočne chránená. Môže za to špeciálny čip T2, v ktorom prebieha šifrovanie oddelene od hlavného procesora.

Intel sa doposiaľ oficiálne nevyjadril.

Diskusia 2 Príspevkov