Cerca nel blog

2015/01/09

Thunderstrike: come infettare un Mac permanentemente in pochi minuti

Circola da tempo la diceria che in alcuni paesi vengano usati, durante i controlli in frontiera, dei sistemi ultraveloci per infettare i computer dei sospettati o delle persone ritenute interessanti per ragioni di sorveglianza o spionaggio. Sembra uno scenario da film, perché pare impossibile scavalcare in pochi minuti le protezioni di un buon computer odierno, ma Ars Technica analizza in dettaglio un tipo di attacco, denominato Thunderstrike, che è in grado di infettare rapidamente un Mac usando un dispositivo collegato alla sua porta Thunderbolt.

In sintesi, un aggressore che abbia accesso fisico al Mac deve soltanto riavviare il computer mentre il dispositivo di attacco è connesso appunto alla porta Thunderbolt del Mac. Se il computer è protetto da una schermata di blocco, all'aggressore basta tenere premuto per alcuni secondi il tasto di accensione, in modo da obbligarlo ad effettuare un hard reboot. Il malware installato sul dispositivo Thunderbolt è un bootkit, ossia un software che sostituisce il firmware normale di avvio del Mac e quindi scavalca le password sul firmware e quelle che proteggono la cifratura del disco.

Il malware, operando a livello del firmware, è indipendente dal sistema operativo e sopravvive persino a una formattazione e alla reinstallazione del sistema operativo. Inoltre sostituisce la firma digitale usata da Apple per consentire ai Mac di eseguire solo firmware autorizzato, per cui diventa estremamente difficile da eliminare da un computer infettato.

Si tratta, a quanto risulta, del primo bootkit per Mac: è decisamente inquietante, ma per ora si tratta soltanto di un malware dimostrativo, non circolante in Rete, che è stato creato da un esperto, Trammell Hudson. Hudson ha segnalato la vulnerabilità ad Apple, che la sta correggendo tramite degli aggiornamenti.

In attesa che questa falla venga chiusa, ci sono soltanto due rimedi: uno è assicurarsi che il proprio Mac non rimanga mai incustodito dove può essere maneggiato da qualcuno (per esempio in camera in albergo, dove gli addetti alle camere possono entrare) e l'altro è sigillare fisicamente la porta Thunderbolt, cosa non proprio pratica, dato che da questa porta passano i collegamenti per i monitor esterni e per moltissimi altri dispositivi.

Nessun commento: