Guardate bene la porta denominata 1394 della foto, che quasi sicuramente avete anche sul vostro portatile: altro non è che la porta dell'interfaccia chiamata Firewire, utile per collegare periferiche (quali fotocamere) dotate di questo particolare tipo di connessione veloce. Ebbene questa porticina, tanto innocente nella sua apparenza, nasconde una minaccia seria all'integrità del vostro computer: è stato dimostrato un attacco in grado di accedere alla memoria del sistema (in lettura e scrittura) tramite una connessione 1394-Firewire, e quindi di poter di fatto bypassare il meccanismo di autenticazione. Sono preoccupato? Sinceramente dall'attacco non più di tanto (vi dico dopo...), quanto dalla solita manipolazione giornalistica che si fa delle notizie per ottenere solo lo scoop. Questa volta però lascio all'amico Paperino (che spero proprio di riuscire a incontrare di persona mentre sono qui a Redmond) il compito di fare la ramanzina a come la notizia sia stata data, a come non sia stato evidenziato nell'articolo che si tratta di caratteristica funzionale del Firewire (quindi non un difetto di codice, un bug per cui sia necessario realizzare una patch), valida su tutte le piattaforme (quindi non solo su Windows XP, ma anche su Linux, Mac e Unix BSD, come dice lo stesso Boileau sul suo sito, ma chissà perché non nell'articolo...:-((...), di come sia un rischio già noto (e non una informazione passata a Microsoft che Microsoft sta ignorando...). Su questo ultimo aspetto: analogamente a quanto detto a proposito del "cold boot" attack, anche questo tipo di rischio era GIA' documentato (vedi Data Encryption Toolkit-Platform Attacks), e ribadito in questo chiarissimo post realizzato nei giorni scorsi proprio a valle della notizia sull'attacco alle tecnologie di disk encryption. Quindi per un professionista della sicurezza questo non dovrebbe essere una novità (almeno per chi lavora seriamente e scrupolosamente sugli aspetti di sicurezza della piattaforma Microsoft). Potrebbe essere invece interessante dibattere il tema di quanto queste informazioni siano evidenti agli utenti non tecnici (evidentemente non lo sono...) e di quanto debbano realmente esserlo per essere usate in modo efficace al fine di proteggersi. Così come mi aspetto sicuramente il commento: se MS avesse lasciato l'interfaccia disabilitata by-default il rischio sarebbe stato minore... sono spunti su cui sarebbe interessante dialogare, fatevi sentire!
Veniamo brevemente all'analisi di rischio. Non c'è molto da dire: per poter essere realizzato, l'attacco richiede di accedere con una connessione 1394-Firewire ad un computer lasciato acceso, ed evidentemente lasciato disatteso. Viene violata la sicurezza fisica, e sappiamo tutti che questo significa dire "Game Over":
Law #3: If a bad guy has unrestricted physical access to your computer, it's not your computer anymore
La sicurezza fisica non è un optional. Le diverse tecnologie possono cercare di mitigare i vari rischi, aumentando i requisiti che sono necessari per realizzare gli attacchi, ma la compromissione della sicurezza fisica si traduce sempre in un rischio residuo in grado di essere sfruttato da chi sia seriamente intenzionato a carpire i nostri dati.
Come mitigare questo tipo di rischio? Se non usate questo tipo di interfaccia per le connessioni ai vostri device, disabilitatela tramite Device Manager.
Tratto dal blog di Feliciano Intini
(Microsoft)
Nessun commento:
Posta un commento