ESET ha pubblicato una panoramica completa dei rischi derivanti da Thunderspy, una serie di vulnerabilità nella tecnologia Thunderbolt e le possibili protezioni. Tramite Thunderspy, un utente malintenzionato può modificare - eventualmente anche rimuovere - le misure di sicurezza dell'interfaccia Thunderbolt su un computer. Di conseguenza, con accesso fisico al computer bersaglio può rubare i dati ivi presenti, anche se è utilizzata la crittografia completa del disco e se il dispositivo è bloccato da password o è in modalità risparmio energetico.
Thunderspy è stato scoperto da Björn Ruytenberg, un ricercatore in sicurezza informatica, nel maggio 2020. "Mentre la ricerca di Ruytenberg ha ricevuto pubblicità per il suo nuovo vettore di attacco, non si è detto molto su come proteggersi da Thunderspy, o anche su come stabilire se si è stati vittime", sottolinea Aryeh Goretsky, illustre ricercatore ESET.
Nel suo articolo “Thunderspy attacks: What they are, who’s at greatest risk and how to stay safe”, Goretsky spiega brevemente il background tecnico di Thunderspy, ma si concentra principalmente sui metodi pratici per difendersi da esso.
Gli attacchi basati su Thunderbolt sono molto rari perché sono, per loro natura, altamente mirati. "Il fatto che un utente tipico non entri nel mirino di un utente malintenzionato non significa che tutti siano al sicuro. Per molti, seguire alcune delle raccomandazioni dichiaratamente rigorose che descriviamo nel nostro articolo ha davvero senso", commenta Goretsky.
Esistono due tipi di attacchi contro la sicurezza su cui Thunderbolt si basa per mantenere l'integrità di un computer. Il primo è la clonazione delle identità dei dispositivi Thunderbolt già riconosciuti e consentiti dal computer. Il secondo è quello di disattivare in maniera permanente la sicurezza Thunderbolt in modo che non possa essere riattivata.
"L'attacco di clonazione è come i ladri che rubano una chiave e la copiano. In seguito, possono usare la chiave copiata ripetutamente per aprire la serratura. Il secondo attacco è una forma di muratura di un chip. In questo caso, si disabilitano in modo permanente i livelli di sicurezza di Thunderbolt e si proteggono le modifiche da scrittura in modo che non possano essere annullate", spiega Goretsky.
Nessuno dei due tipi di attacco viene effettuato in modo semplice, poiché è necessario l'accesso effettivo di persona al computer bersaglio, insieme agli strumenti per smontare il computer, collegare un programmatore, leggere il firmware dal chip SPI flash ROM, smontare e modificarne le istruzioni, e riscriverle sul chip. Tali attacchi sono una sorta di "evil maid attack", che implicano lo scenario in cui un utente malintenzionato che per realizzare l'attacco entra in una stanza d'albergo mentre la vittima non è presente.
La necessità di manomettere fisicamente il computer limita la gamma delle potenziali vittime a obiettivi di alto valore. Alcuni possono essere perseguiti dai servizi di intelligence di Stato o dalle forze dell'ordine, ma anche dirigenti d'azienda, ingegneri, personale amministrativo o persino dipendenti in prima linea possono essere bersaglio se l’utente malintenzionato ha qualche movente commerciale, come lo spionaggio industriale. Sotto regimi oppressivi, politici, ONG e giornalisti sono possibili bersagli di minacce avanzate come Thunderspy. Per difendersi da Thunderspy, come per qualsiasi altro attacco hardware che richiede l'accesso fisico al sistema, è importante decidere se l'obiettivo è quello di rendere evidente che si è verificato un attacco fisico, o di proteggersi. da esso.
I metodi di protezione contro gli attacchi Thunderspy possono essere suddivisi in categorie separate. "In primo luogo, impedite qualsiasi accesso non autorizzato al vostro computer. In secondo luogo, proteggete tutte le interfacce e le porte rilevanti del computer, come USB-C. Inoltre, andate oltre le misure fisiche e prendete anche provvedimenti per rendere più sicuri il firmware e il software del vostro computer", riassume Goretsky.
L’articolo “Thunderspy attacks: What they are, who’s at greatest risk and how to stay safe” contiene molti consigli pratici per migliorare la sicurezza contro il furto di dati da parte di Thunderspy, tra cui uno che si distingue per la sua semplicità ma relativamente potente.
"Disattivate l'ibernazione, la sospensione o altre modalità di spegnimento ibrido. Fate in modo che il computer sia completamente spento quando non viene utilizzato - in questo modo si possono prevenire gli attacchi alla memoria del computer tramite Thunderspy", raccomanda Goretsky.
Oltre a tutte le altre misure di sicurezza, gli utenti utilizzano un software di sicurezza di un vendor affidabile come ESET che può eseguire la scansione del firmware UEFI del computer, uno dei percorsi in cui sono salvate le informazioni di sicurezza Thunderbolt.
Per ulteriori informazioni, leggete "Thunderspy attacks: What they are, who’s at greatest risk and how to stay safe” su WeLiveSecurity.com.