Björn Ruytenberg, studente del master in Computer Science and Engineering alla Eindhoven University of Technology e ricercatore di sicurezza, ha reso noto di aver individuato una vulnerabilità, soprannominata Thunderspy, che colpisce dispositivi dotati di porta Thunderbolt.
In pratica, ha spiegato il ricercatore, se il computer è fornito di una porta Thunderbolt, un utente malintenzionato che ottiene un accesso fisico ad esso, anche per breve tempo, può leggere e copiare tutti i dati dell’utente, persino se il drive è cifrato e il computer è bloccato o in modalità di sleep.
Perché l’attacco vada a segno, il malintenzionato deve dunque ottenere un accesso fisico al computer, ma Björn Ruytenberg non lascia spazio a sospiri di sollievo: secondo il ricercatore tutto ciò di cui il cyber-attacker ha bisogno sono: solo 5 minuti con il computer, un cacciavite e dell’hardware facilmente trasportabile.
Oltretutto, Thunderspy è “invisibile”, cioè non è possibile trovare alcuna traccia dell’attacco e l’utente non si accorge del leak dei dati.
Entrando più nel dettaglio della falla di sicurezza, innanzitutto dovremmo utilizzare il plurale, perché sono sette le vulnerabilità scoperte nel design Thunderbolt di Intel, e i ricercatori hanno elaborato nove scenari realistici su possibili exploit.
I ricercatori hanno anche sviluppato un tool, gratuito e open source, per identificare se il sistema è vulnerabile, e stilato una lista di risposte ai quesiti più urgenti che potrebbero sorgere.
Le vulnerabilità, ha spiegato Björn Ruytenberg, sfrutta la caratteristica dei dispositivi Thunderbolt di essere basati su PCIe e di essere dotati di I/O abilitato per l’accesso diretto alla memoria (Direct Memory Access, DMA). Ciò rende l’interfaccia molto veloce; tuttavia, in un attacco DMA “evil maid”, in cui i cyber attacker ottengono un breve accesso fisico al sistema della vittima, Thunderbolt ha dimostrato di essere, sostiene il ricercatore, un punto di accesso che consente di rubare dati da unità cifrate e di leggere e scrivere tutta la memoria del sistema.
In risposta a questa evenienza, Intel ha introdotto Security Levels, un’architettura di sicurezza progettata per consentire agli utenti di autorizzare solo i dispositivi Thunderbolt affidabili. Gli attacchi denominati Thunderspy, spiega però il ricercatore, hanno dimostrato di poter infrangere tali barriere di sicurezza. Il ricercatore ha cioè dimostrato la possibilità di creare identità arbitrarie di dispositivi Thunderbolt, clonare dispositivi Thunderbolt autorizzati dall’utente e infine ottenere la connettività PCIe per eseguire attacchi DMA.
Tutti i sistemi equipaggiati con Thunderbolt distribuiti tra il 2011 e il 2020 sono vulnerabili, secondo Ruytenberg. Alcuni sistemi provvisti di Kernel DMA Protection, in vendita dal 2019, sarebbero solo parzialmente vulnerabili. Kernel DMA Protection mitigherebbe alcune delle vulnerabilità, ma non tutte. Queste vulnerabilità Thunderspy, inoltre, non possono essere risolte via software e influiscono su standard futuri come USB 4 e Thunderbolt 4: esse richiedono una riprogettazione del silicio, avvisa il ricercatore.
A questo riguardo, Intel ha risposto con una comunicazione sul blog ufficiale dell’azienda. Nel 2019, afferma Intel, i principali sistemi operativi hanno implementato la protezione Kernel Direct Memory Access (DMA) per mitigare attacchi come questi: in particolare, Windows (Windows 10 1803 RS4 e versioni successive), Linux (kernel 5.xe versioni successive) e MacOS (MacOS 10.12.4 e versioni successive).
I ricercatori della Eindhoven University of Technology, ha dichiarato ancora Intel, non hanno dimostrato attacchi DMA eseguiti con successo contro i sistemi con queste mitigazioni abilitate.
Intel suggerisce quindi agli utenti di verificare con il produttore per determinare se nel proprio sistema sono incorporate queste mitigazioni.
Anche Microsoft aveva dedicato al tema un approfondimento sul proprio sito di supporto.
