Trovate gravi vulnerabilità nella tecnologia Thunderbolt

Il ricercatore di sicurezza Björn Ruytenberg, della Eindhoven University of Technology, ha illustrato un insieme di gravi vulnerabilità della tecnologia Thunderbolt. Questo insieme è stato denominato “Thunderspy” ed a quanto pare darebbero accesso totale alle informazioni presenti su un PC. Tra i dispositivi vulnerabili ritroviamo i MacBook di Apple ed alcuni notebook Windows, prodotti dal 2011 al 2020.

Il ricercatore oltre a spiegare, anche tramite video, come è possibile sfruttare queste falle, ha fatto dichiarazioni molto importanti. La prima è che purtroppo, la gran parte di questo tipo di falle, non possono essere risolte per via software ma solo hardware. Questo riguarda ed influisce direttamente anche le future tecnologie e standard dell’ USB 4 e Thunderbolt 4, che dovrebbero essere necessariamente riprogettati a livello chip.

Controcorrente a queste dichiarazioni, Intel, creatore e produttore di questo standard, ha cercato di tranquillizare tutti. Intel ha puntualizzato che, nel 2019, i principali sistemi operativi (Windows 10 1803 RS4, Linux kernel 5.x, macOS 10.12.4 e successivi) hanno implementato la protezione Kernel Direct Memory Access (DMA). Questo tipo di protezione dovrebbe mitigare attacchi come questi, infatti i ricercatori non hanno dimostrato attacchi DMA efficaci su sistemi con questi aggiornamenti.

Purtroppo però il ricercatore Ruytenberg ha fatto notare e spiegato che la protezione Kernel DMA non sarebbe però universalmente implementata. I dispositivi Thunderbolt realizzati prima del 2019 sarebbero incompatibili con tale soluzione. Dichiarando inoltre che i prodotti Apple sarebbero totalmente vulnerabili quando eseguono Bootcamp, mentre lo sarebbero parzialmente con macOS in funzione. Questo fa riflettere anche su una delle ultime dichiarazioni di Microsoft, che ha dichiarato che l’assenza di prese Thundebolt nei propri dispositivi Surface fosse dovuta proprio a “ragioni di sicurezza“!

Thunderspy permette di entrare all’interno di ogni sistema, leggere o clonare qualsiasi dato presente sulla macchina. Questo procedimento può essere effettuato anche in presenza di contromisure come il blocco o sospensione del dispositivo, in presenza di Secure Boot o persino in presenza di una password del BIOS o disco cifrato. Per effettuare ciò però c’è un grosso “MA”. Secondo il ricercatore il metodo si basa su circa 600 dollari materiale, tra cui un dispositivo per programmare la memoria SPI ed una periferica per l’attacco DMA che aggiri la schermata di blocco. Insomma un lavoro tutt’altro che semplice e che solo persone o agenzie, con fondi, potrebbero essere interessate per qualche forma di spionaggio. Oltretutto ci sarebbe la necessità di essere fisicamente presente dinnazi alla macchina ed avere modo e tempo di aprirla.

Insomma ringraziamo Björn Ruytenberg che ha reso noti questi problemi, inoltre ha reso pubblico un tool libero e open source, Spycheck, per determinare se si è in possesso di un sistema vulnerabile. Speriamo che tutto ciò sproni le società a fare di meglio in futuro, nell’ambito della sicurezza. Non vorremo ritrovarci in situazioni simili a quelle passate come Petya e Wannacry. Non è nuova una situazione del genere ma speriamo sempre in meglio. Voi cosa né pensate? Scrivete qui nei commenti!