Chefkonsulent Shehzad Ahmad, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
Når uvedkommende har fysisk adgang til din computer, er det ikke længere din computer.
Ud fra denne gamle sandhed er det let at affærdige to nye typer angreb, der har fået en del presseomtale. Det ene anvender firewire, mens det andet benytter sig af kuldespray.
I begge tilfælde skal man have fingrene i maskinen for at udnytte sårbarheden.
Skønt de kræver fysisk adgang, er de to nye angreb nu alligevel værd at kigge nærmere på.
Direkte til RAM via Firewire
Angrebet med firewire er enkelt at udføre:
Man kører et program på en Linux-computer eller en iPod.
Den sluttes med et firewire-kabel til den pc, man vil angribe. Herefter kan programmet hente indholdet af RAM'en over på Linux-pc'en, hvor det kan analyseres.
Er det så en sårbarhed?
Nej, direkte adgang til arbejdslageret uden om styresystemet er faktisk en indbygget funktion i firewire. Så det er ikke en fejl, men en feature.
Nogen nyhed er der heller ikke tale om. Jeg hørte første gang om det for fire år siden. Men nu findes der et program til at udnytte metoden i praksis.
Risiko ved pause
Firewirestikket udgør især en risiko ved bærbare pc'er, der er sat på pause.
Selvom pauseskærmen er beskyttet med adgangskode, kan en angriber få adgang til data i arbejdslageret, hvis han blot kan stikke et Firewirekabel i maskinen.
Adam Boileau, der har skrevet angrebsprogrammet, oplyser, at angrebet også kan gennemføres på en pc uden indbygget firewire.
Så skal man sætte et Cardbus Firewire-kort i pc'en og vente på, at det automatisk installeres.
Frossen RAM
Det andet aktuelle angreb er også rettet mod arbejdslageret.
Men her udnytter man en fysisk egenskab ved RAM-kredse.
Som bekendt glemmer RAM-chips deres data, når strømmen forsvinder. Men der går lidt tid, før de glemmer dem.
Forskere ved Princeton-universitetet har opdaget, at den tid kan forlænges, hvis man nedkøler chips. Så kan de huske data i flere minutter.
Det har de udnyttet i et angrebsprogram. Programmet lægges på en USB-enhed, der kan bootes fra. Pc'en afkøles og slukkes.
Den bootes fra USB-enheden, hvorefter data kan hentes ud fra RAM'en.
Forskerne var på udkig efter én bestemt stump data i RAM: Den nøgle, som var benyttet til at kryptere data på pc'ens disk med. Og ifølge forskerne lykkedes det at få fat i den. Derefter kunne de læse alle data på disken, selvom den var krypteret.
Hold pc'en tæt til kroppen
Skønt begge angreb er interessante, er der ingen grund til panik.
Men de viser, at der er god grund til at holde sin bærbare pc under konstant opsyn, når man er uden for kontoret.
Hvis man ikke bruger Firewire-porten, kan man slå den fra i BIOS.
Det kan også være en god ide altid at lukke pc'en helt ned i stedet for at bruge standby eller dvale.
Oprindelig bragt på Computerworld Online fredag den 28. marts 2008
LINKS
Adam Boileaus blog
Adam Boileaus præsentation af Firewire-angrebet (PDF-format)
Princeton-forskernes artikel om nedkøling af RAM