september 13, 2018 |

Kwetsbaarheid in firmware van laptops biedt hackers toegang tot encryptiesleutels

F-Secure: huidige beveiligingsmechanismen zijn niet toereikend om data op gestolen of zoekgeraakte laptops te beschermen.

Nieuwegein – Beveiligingsconsultants van F-Secure, de leverancier van oplossingen voor cybersecurity, hebben een kwetsbaarheid in moderne laptops ontdekt. Hackers kunnen daar misbruik van maken om encryptiesleutels en andere gevoelige informatie buit te maken. Deze ontdekking vormt aanleiding voor de consultants van F-Secure om computerfabrikanten en -gebruikers te waarschuwen dat de huidige beveiligingsmechanismen niet toereikend zijn om data op gestolen of zoekgeraakte laptops te beschermen.

Hackers hebben fysieke toegang tot een laptop nodig om misbruik van deze kwetsbaarheid te kunnen maken. Volgens Olle Segerdahl, principal security consultant bij F-Secure, kan een hacker de aanval in dat geval in circa vijf minuten tijd uitvoeren.

“Organisaties zijn doorgaans niet voorbereid om zichzelf te beschermen tegen cybercriminelen die een bedrijfscomputer fysiek in bezit hebben. En als je een beveiligingsprobleem aantreft in systemen van belangrijke computerfabrikanten, zoals de kwetsbaarheid die mijn team ontdekte, moet je ervanuit gaan dat veel bedrijven te maken hebben met een zwakke schakel in hun beveiliging waarvan ze zich niet volledig van bewust zijn of onvoldoende op zijn voorbereid”, zegt Segerdahl.

De kwetsbaarheid biedt hackers met fysieke toegang tot een laptop de mogelijkheid om een cold boot-aanval uit te voeren. Dit is een techniek waar hackers sinds 2008 gebruik van maken. Hierbij wordt een computer opnieuw opgestart na een reguliere afsluitprocedure, zodat hackers data die kortstondig in het RAM-geheugen aanwezig blijft na het uitschakelen van de stroom kunnen herstellen.

Moderne laptops overschrijven het RAM-geheugen om te voorkomen dat hackers gegevens stelen met cold boot-aanvallen. Segerdahl en zijn team ontdekten echter een manier om dit overschrijfproces te deactiveren, zodat ze in staat waren om de tien jaar oude aanvalstechniek opnieuw te gebruiken.

“Er zijn een paar extra stappen voor nodig ten opzichte van de klassieke cold boot-aanval, maar het werkt in combinatie met alle moderne laptops die we hebben getest. Deze techniek is met name relevant in situaties waarin apparaten worden gestolen of op illegitieme wijze worden verkregen. Hackers hebben daarmee alle tijd van de wereld om deze aanval uit te voeren”, aldus Segerdahl.

De aanval maakt misbruik van het feit dat de firmware-instellingen voor het opstartgedrag geen bescherming bieden tegen fysieke aanvallers. Een hacker kan met een simpele hardwaretool de instellingen op de niet-volatiele geheugenchip herschrijven. Dit maakt het mogelijk om de laptop opnieuw te starten met externe apparatuur, zoals met een speciaal programma op een USB-stick.

“Omdat deze aanval wordt uitgevoerd op zakelijke laptops, kunnen organisaties er niet zeker van zijn dat hun data veilig is nadat een systeem zoekraakt. En aangezien 99 procent van alle laptops zaken zoals aanmeldingsgegevens voor het bedrijfsnetwerk bevatten, biedt dit hackers een consistente en betrouwbare manier om zakelijke doelwitten aan te vallen”, zegt Segerdahl. “Er bestaat geen eenvoudige oplossing voor dit probleem. Dit is een risico dat bedrijven zelf zullen moeten ondervangen.”

Segerdahl heeft de resultaten van zijn onderzoek gedeeld met Intel, Microsoft en Apple om de PC-sector te helpen met het verbeteren van de beveiliging van zijn huidige en toekomstige producten.

Segerdahl verwacht niet dat de sector op korte termijn met een oplossing op de proppen komt. Daarom raadt hij bedrijven aan om zichzelf voor te bereiden op dit soort aanvallen. Een manier om dit te doen is door laptops te configureren om zichzelf automatisch af te sluiten of de sluimerstand te activeren en gebruikers te vragen om de Bitlocker-pincode elke keer in te voeren wanneer Windows wordt opgestart of zichzelf herstelt. Verder is het belangrijk om managers en medewerkers die veel reizen voor te lichten over cold boot-aanvallen en vergelijkbare bedreigingen. IT-afdelingen zouden daarnaast moeten beschikken over een plan voor incidentrespons, zodat ze direct tegenmaatregelen kunnen treffen zodra laptops zoekraken.

“Door aanmeldingsgegevens snel in te trekken kunnen bedrijven gestolen laptops minder waardevol maken voor cybercriminelen. Teams die zich bezighouden met IT-beveiliging en incidentrespons zouden oefeningen moeten uitvoeren om zichzelf op scenario voor te bereiden. Medewerkers zouden de IT-afdeling direct op de hoogte moeten stellen als hun laptop apparaat zoekraakt of wordt gestolen”, adviseert Segerdahl. “Jezelf voorbereiden op een dergelijke situatie is beter dan ervan uit te gaan dat apparaten niet fysiek kunnen worden gehackt. Want dat is een absolute misvatting.”

Segerdahl en Pasi Saarinen, eveneens beveiligingsconsultant bij F-Secure, zullen de onderzoeksbevindingen presenteren tijdens de SEC-T conference in Zweden op 13 september en het BlueHat v18-congres van Microsoft in de Verenigde Staten op 27 september.

Aanvullende informatie

Documentatie van Microsoft over tegenmaatregelen met Bitlocker

Blog van F-Secure, incusief video met uitleg

 

Over F-Secure

Niemand kent cyber security zoals F-Secure. Al drie decennia lang stimuleert F-Secure innovaties op het gebied van cyber beveiliging en beschermt tienduizenden bedrijven en miljoenen mensen. Met onovertroffen ervaring op het gebied van eindpuntbeveiliging evenals detectie en respons beschermt F-Secure ondernemingen en consumenten tegen alles, variërend van geavanceerde cyberaanvallen en datalekken tot wijdverspreide ransomware-virussen. De geavanceerde technologie van F-Secure combineert de kracht van machinaal leren met de menselijke expertise van zijn wereldberoemde beveiligingslaboratoria voor een unieke aanpak, bekend onder de naam Live Security. De beveiligingsexperts van F-Secure hebben deelgenomen aan meer Europese onderzoeken naar cybercriminaliteit dan welk ander bedrijf op de markt. Haar producten worden over de hele wereld verkocht door meer dan 200 breedband- en mobiele operators en duizenden resellers.

Opgericht in 1988, F-Secure is genoteerd op de NASDAQ OMX Helsinki Ltd.

f-secure.com twitter.com/fsecure | facebook.com/f-secure

Sabine Steen-Lakerveld

sr consultant

(033) 303 33 30

sabine@dok30.nl

Downloads en ander leuks

nl-cold_boot_attacks_infographic.pdf
Actualiteiten
Persarchieven
Jaar selecteren

Latest Press Releases

september 13, 2018

Kwetsbaarheid in firmware van laptops biedt hackers toegang tot encryptiesleutels

F-Secure: huidige beveiligingsmechanismen zijn niet toereikend om data op gestolen of zoekgeraakte laptops te beschermen.

juni 19, 2018

F-Secure zet een belangrijke stap op weg naar leiderschap in cybersecurity met de overname van MWR InfoSecurity

F-Secure breidt zijn mogelijkheden voor bedreigingsdetectie en incidentrespons uit met een brancheleidend platform voor het opsporen van cyberbedreigingen en breidt de beschikbaarheid van zijn beveiligingsdiensten uit naar de grootste wereldwijde markten.

juni 1, 2018

Zakelijk gebruiker voorzichtiger met openbare Wifi; vertrouwt ten onrechte op eigen beveiliging

Nederlandse mobiele werkers lijken hun lering te hebben getrokken uit de vele waarschuwingen om voorzichtig om te gaan met openbare Wifi-punten, zo blijkt uit een recent veldonderzoek van F-Secure in vier grote ‘business hubs’ in Nederland. Toch is er nog weinig reden om te juichen: de meeste mensen die toch contact maakten met het onbekende, openbare Wifi-punt van F-Secure gebruikten ook nog eens verouderde beveiligingsmaatregelen – of zelfs helemaal niets – waardoor een datalek of hack op de loer ligt.

mei 17, 2018

F-Secure verenigt het beste van mens & machine in nieuwe beveiligingsoplossing

F-Secure Rapid Detection & Response combineert menselijke expertise en artificial intelligence, zodat bedrijven gerichte aanvallen een stap voor kunnen blijven.

%d bloggers liken dit: