skip to main | skip to sidebar
3 commenti

Thunderstrike: come infettare un Mac permanentemente in pochi minuti

Circola da tempo la diceria che in alcuni paesi vengano usati, durante i controlli in frontiera, dei sistemi ultraveloci per infettare i computer dei sospettati o delle persone ritenute interessanti per ragioni di sorveglianza o spionaggio. Sembra uno scenario da film, perché pare impossibile scavalcare in pochi minuti le protezioni di un buon computer odierno, ma Ars Technica analizza in dettaglio un tipo di attacco, denominato Thunderstrike, che è in grado di infettare rapidamente un Mac usando un dispositivo collegato alla sua porta Thunderbolt.

In sintesi, un aggressore che abbia accesso fisico al Mac deve soltanto riavviare il computer mentre il dispositivo di attacco è connesso appunto alla porta Thunderbolt del Mac. Se il computer è protetto da una schermata di blocco, all'aggressore basta tenere premuto per alcuni secondi il tasto di accensione, in modo da obbligarlo ad effettuare un hard reboot. Il malware installato sul dispositivo Thunderbolt è un bootkit, ossia un software che sostituisce il firmware normale di avvio del Mac e quindi scavalca le password sul firmware e quelle che proteggono la cifratura del disco.

Il malware, operando a livello del firmware, è indipendente dal sistema operativo e sopravvive persino a una formattazione e alla reinstallazione del sistema operativo. Inoltre sostituisce la firma digitale usata da Apple per consentire ai Mac di eseguire solo firmware autorizzato, per cui diventa estremamente difficile da eliminare da un computer infettato.

Si tratta, a quanto risulta, del primo bootkit per Mac: è decisamente inquietante, ma per ora si tratta soltanto di un malware dimostrativo, non circolante in Rete, che è stato creato da un esperto, Trammell Hudson. Hudson ha segnalato la vulnerabilità ad Apple, che la sta correggendo tramite degli aggiornamenti.

In attesa che questa falla venga chiusa, ci sono soltanto due rimedi: uno è assicurarsi che il proprio Mac non rimanga mai incustodito dove può essere maneggiato da qualcuno (per esempio in camera in albergo, dove gli addetti alle camere possono entrare) e l'altro è sigillare fisicamente la porta Thunderbolt, cosa non proprio pratica, dato che da questa porta passano i collegamenti per i monitor esterni e per moltissimi altri dispositivi.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (3)
Interessante come sempre, grazie Paolo. Volevo solo segnalare un piccolo refuso alla fine dell'articolo dove hai scritto "porta Thunderbird" invece di "Thunderbolt". Ciao!
Andrea,

lapsus freudiano sistemato, grazie¨


(seguivo i Thunderbirds di Gerry Anderson da bambino)
Sfortunatamente quando si parla di "accesso fisico" non c'è di fatto protezione che tenga. :(