13.9.2018 klo 12:02
Uutinen

F-Secure varoittaa kannettaviin kohdistuvista hyökkäyksistä: Onnistuu viidessä minuutissa, erityisen vaarallinen yrityksille

F-Securen asiantuntijat ovat löytäneet kannettavista tietokoneista heikkouden, jonka avulla hyökkääjät voivat varastaa koneiden salausavaimen ja muita luottamuksellisia tietoja.

F-Securen tutkijat varoittavat uuden löydöksen perusteella sekä PC-myyjiä että käyttäjiä. Tutkijoiden mukaan koneiden nykyiset turvakäytännöt riitä suojaamaan koneilla olevaa dataa, jos kone katoaa tai se varastetaan.

Haavoittuvuuden avulla hyökkääjä voi tehdä tietokoneelle ns. kylmäkäynnistyshyökkäyksen, joka ei ole uusi asia vaan on ollut pitkään rikollisten tiedossa. Kylmäkäynnistyshyökkäys onnistuu, jos kone käynnistetään uudelleen noudattamatta oikeaoppista sammutusmenetelmää. Tällöin hyökkääjä pääsee käsiksi koneen RAM-muistissa oleviin tietoihin.

Uusissa kannettavissa kylmäkäynnistyshyökkäys estetään ylikirjoittamalla RAM-muistin tiedot, jotta niiden varastaminen ei onnistuisi. Tutkijat löysivät keinon, jolla ylikirjoitusprosessi voidaan estää ja siten tehdä jo vuosikymmenen vanha kylmäkäynnistyshyökkäys.

”Onnistuu viidessä minuutissa”

Haavoittuvuuden hyödyntäminen vaatii sen, että hyökkääjän on päästävä tietokoneeseen fyysisesti käsiksi. Jos se onnistuu, hyökkääjä voi F-Securen johtavan tietoturvakonsultin Olle Segerdahlin mukaan tehdä onnistuneen hyökkäyksen noin viidessä minuutissa.

– Vanhaan kylmäkäynnistyshyökkäykseen verrattuna hyökkäyksen toteuttaminen vaatii nyt muutaman lisävaiheen, mutta se on toiminut kaikissa testaamissamme kannettavissa. Koska tämän tyyppinen uhka toteutuu ensisijaisesti tilanteissa, joissa laite on varastettu tai muuten luvattomasti hankittu, hyökkääjällä on käytettävissään paljon aikaa hyökkäyksen toteuttamiseen, F-Securen johtava tietoturvakonsultti Olle Segerdahlin kertoo.

– Organisaatiot eivät yleensäkään ole varautuneita suojaamaan itseään hyökkääjältä, joka on saanut käsiinsä yrityksen omistaman tietokoneen. Koska nyt löydetty tietoturvaongelma koskee suurimpien pc-valmistajien koneita, on pakko olettaa, että tällä hetkellä suuressa osassa yrityksistä on tietoturvassa heikko lenkki, josta he eivät ole täysin tietoisia, tai jota ne eivät ole varautuneet käsittelemään, Segerdahl jatkaa yhtiön tiedotteessa.

Erityisen haitallinen yrityskäyttäjille

Kylmäkäynnistyshyökkäys voidaan tehdä käynnistämällä tarkoitukseen sopiva ohjelma USB-tikulta.

– Tämä hyökkäys on tehokas erityisesti yrityskannettaviin. Jos yrityksen tietoja sisältävä kone katoaa, yrityksellä ei ole varmuutta siitä, että tiedot ovat turvassa. Ja koska 99 prosenttia yrityskannettavista sisältää arkaluontoisia tietoja, kuten yrityksen verkon tunniste- ja kirjautumistietoja, hyökkääjät saavat pysyvän ja luotettavan tavan vahingoittaa yrityksiä, Segerdahl jatkaa.

Hän muistuttaa, että kyseiseen haavoittuvuuteen ei ole pikakorjausta. Segerdahl tiimeineen on jakanut löydöksensä tulokset Intelin, Microsoftin ja Applen kanssa voidakseen auttaa tietokoneteollisuutta parantamaan nykyisten ja tulevien laitteidensa tietoturvaa.

Näin varaudut

Segerdahl suosittelee, että yritykset valmistautuvat hyökkäyksiin. Yksi vaihtoehto on konfiguroida kannettavat niin, että lepotilan sijaan ne joko sammuvat automaattisesti tai menevät horrostilaan, ja vaativat Bitlocker-PIN-koodia aina kun Windows palaa horrostilasta tai käynnistetään. On myös tärkeää kouluttaa työntekijät ja johto – etenkin paljon matkustavat – tiedostamaan kylmäkäynnistyshyökkäysten ja vastaavien uhkien riskit.

– Jos varastetun kannettavan sisältämät tunniste- ja kirjautumistiedot saadaan nopeasti vaihdettua, hyökkääjä hyötyy kannettavasta huomattavasti vähemmän. Yritysten tietoturva-asiantuntijoiden ja tietoturvaloukkauksia käsittelevien CSIRT-tiimien pitäisi harjoitella, miten toimitaan tämän tilanteen toteutuessa. Heidän pitäisi myös varmistaa, että henkilöstö tietää, kenelle laitteen katoamisesta pitää ilmoittaa välittömästi sen huomattuaan, Segerdahl ohjeistaa.

Kuva: Getty Images

Yrittäjäsanomat

toimitus (at) yrittajat.fi