Un attacco evil-maid è il più primitivo che ci sia, ma è anche una delle tipologie più spiacevoli. Avventandosi sui dispositivi incustoditi, la “cameriera malvagia” cerca di rubare informazioni segrete o di installare spyware e strumenti per l’accesso remoto, con lo scopo di entrare nella rete aziendale. In questo post vi spiegheremo come difendervi.
Un esempio classico
Nel dicembre 2007, una delegazione del Dipartimento del Commercio degli Stati Uniti si è recata a Pechino per un colloquio su una strategia comune con lo scopo di fermare la pirateria. Al ritorno negli Stati Uniti, tuttavia, il portatile del segretario conteneva degli spyware la cui installazione richiede l’accesso fisico al computer. Il proprietario del portatile ha confermato di aver avuto il dispositivo sempre con sé durante le trattative e di averlo lasciato nella sua stanza d’albergo, nella cassaforte, solo durante la cena.
In teoria, un professionista può compromettere un dispositivo in 3 o 4 minuti, ma questo genere di situazioni tende a verificarsi quando il computer viene lasciato incustodito e sbloccato (o non protetto da password). Ma anche prendendo le dovute misure di sicurezza di base, un attacco evil-maid può comunque essere possibile.
Come fanno i criminali informatici ad accedere alle informazioni?
Esistono molti modi per arrivare alle informazioni critiche; dipende da quanto è vecchio il computer e dal software di sicurezza attivo. Ad esempio, i dispositivi meno recenti che non supportano l’Avvio protetto (Secure Boot) possono essere avviati mediante unità esterne e, di conseguenza, non hanno mezzi per difendersi dagli attacchi evil-maid. Sui PC moderni di solito l’Avvio protetto è attivo di default.
Le porte di comunicazione che supportano lo scambio veloce di dati o l’interazione diretta con la memoria del dispositivo possono servire per l’estrazione di dati personali o aziendali. Thunderbolt, ad esempio, raggiunge la sua elevata velocità di trasmissione dati attraverso l’accesso diretto alla memoria, spalancando le porte agli attacchi evil-maid.
La scorsa primavera, l’esperto di sicurezza informatica Björn Ruytenberg ha condiviso un modo per violare la sicurezza di qualsiasi dispositivo Windows o Linux con Thunderbolt abilitato, anche se bloccato e disattivata la connessione di dispositivi non convenzionali attraverso interfacce esterne. Il metodo di Ruytenberg, soprannominato Thunderspy, presuppone l’accesso fisico al dispositivo e bisogna riscrivere il firmware del controller.
Per portare a termine Thunderspy, il cybercriminale deve riprogrammare il chip Thunderbolt con la sua versione del firmware. Il nuovo firmware disabilita la protezione incorporata e il cybercriminale ottiene il pieno controllo del dispositivo.
In teoria, la politica di protezione DMA del kernel risolve la vulnerabilità, ma non tutti la utilizzano (e con le versioni prima di Windows 10 non era possibile). Tuttavia, Intel ha annunciato una soluzione al problema: Thunderbolt 4.
La cara, vecchia USB può servire anche come canale di attacco. Un dispositivo in miniatura, inserito in una porta USB, si attiva quando l’utente accende il computer e può eseguire un attacco BadUSB
Se le informazioni che cercano sono particolarmente preziose, i cybercriminali potrebbero anche provare a rubare il dispositivo per sostituirlo con uno simile che contiene già lo spyware, un’impresa ardua e costosa. Certo, lo scambio verrà smascherato abbastanza in fretta, ma molto probabilmente solo dopo che la vittima avrà inserito la propria password. Per fortuna come abbiamo detto, si tratta di un’operazione difficoltosa e onerosa.
Come ridurre i rischi al minimo
Il modo più semplice e affidabile per proteggervi dagli attacchi evil-maid è quello di custodire il dispositivo in un luogo al quale solo voi avete accesso. Non lasciatelo in una stanza d’albergo se potete evitarlo, per esempio. Se i vostri dipendenti devono andare in viaggio d’affari con un computer portatile, ecco alcune misure che potete adottare per attenuare i rischi:
Utilizzate portatili temporanei senza accesso a sistemi aziendali critici o a dati di lavoro, quindi formattate l’hard disk e reinstallate il sistema operativo dopo ogni viaggio;
- Richiedete ai dipendenti di spegnere i portatili prima di lasciarli incustoditi;
- Cifrate gli hard disk di tutti i computer che saranno portati fuori dall’ufficio;
- Utilizzate soluzioni di sicurezza che blocchino il traffico in uscita sospetto;
- Assicuratevi che la soluzione di sicurezza rilevi gli attacchi BadUSB (come fa Kaspersky Endpoint Security for Business);
- Aggiornate tempestivamente tutti i software, in particolare il sistema operativo;
- Limitate l’accesso diretto alla memoria del dispositivo attraverso FireWire, Thunderbolt, PCI e PCI Express su ogni dispositivo che lo consente.