Nova técnica invade PC em sleep mode

Paulo Brito
13/09/2018

O principal consultor de segurança da F-Secure, Olle Segerdahl, e seu colega Pasi Saarinen descobriram um novo modo de invadir computadores, com um método que, segundo eles, funciona contra quase todos os computadores, incluindo notebooks da Dell, Lenovo e até da Apple. A  principal descoberta da pesquisa é que o “sleep mode” é vulnerável. Eles apresentaram os resultados da pesquisa hoje em Estocolmo, na conferência SEC-T. O segredo está no modo pelo qual os computadores protegem o firmware: os pesquisadores dizem que quem conseguir pôr as mãos no computador pode explorar essa fragilidade e dar boot, podendo roubar as chaves de criptografia e outras informações confidenciais.

Há informação mesmo depois que a bateria é removida

Esse ataque de boot a frio foi desenvolvido em 2008. Os pesquisadores na época descobriram que era possível pegar informação que ainda ficava nas memórias mesmo depois que a força era desligada – mesmo que a bateria de um notebook fosse removida. Depois disso, foram tomadas providências para evitar esse tipo de ataque e a principal é limpar as memórias, sobrescrevendo tudo o que havia nelas.

No entanto, usando uma ferramenta simples os pesquisadores Olle e Pasi conseguiram reescrever as instruções no chip de memória não-volátil que contém essas configurações, desabilitar a sobrescrita de memória e ativar a inicialização a partir de dispositivos externos. Com isso, pode ser feito o boot a partir de um pen drive e pronto: o PC está invadido.

Olle admite que isso não é fácil de fazer, mas haverá gente interessada em se aproveitar dessa falha. “Não é para quem procura alvos fáceis. Mas quem procura ‘peixes’ maiores, como um banco ou uma grande empresa, saberá como usar. ” O pesquisador acha que não há uma solução fácil disponível para os fornecedores de PCs, e por isso é algo que as empresas e os usuários finais terão de resolver sozinhos. No mínimo desligando seus PCs do jeito certo.

Olle e Pasi recomendam que os departamentos de TI configurem todos os computadores da empresa para desligar ou hibernar (não entrar no modo de suspensão ou sleep) e exigir que os usuários insiram seu PIN sempre que ligarem ou restaurarem seus computadores.

 

 

Compartilhar:

Últimas Notícias

Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor

Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.

ATENÇÃO: INCLUA newsletter@cisoadvisor.com.br NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)