Det er ikke bare gjennom lugubre nettsider og virus at fremmede kan snoke på datamaskinen din. Kriminelle kan også gå fysisk til verks for å stjele innholdet ditt.
Millioner av datamaskiner produsert etter 2011 har en innebygd Thunderbolt-kontakt. Den gjør det mulig å koble skjermer, harddisker eller annet utstyr til maskinen din.
Thunderbolt er kjent for rask overføringshastighet, langt raskere enn USB.
Krever fysisk tilgang
Men Thunderbolt kan også være en vei inn i det aller helligste. Og det uten at inntrengeren trenger passordet ditt.
Så sent som i fjor avdekket forskere ved universitetet i Cambridge at man kan få tilgang til datamaskinen ved å koble spesiallaget utstyr til Thunderbolt-kontakten.
Løsningen på problemet var å enten slå av kontakten helt eller endre sikkerhetsinnstillingene slik at den ikke godtok at fremmed utstyr ble koblet til.
Denne uken viste derimot den nederlandske IT-studenten Björn Ruytenberg en metode som overkjører disse sikkerhetsinnstillingene.
Metoden har fått navnet Thunderspy.
Kort fortalt skrur den av sikkerhetsinnstillingene på Thunderbolt og forhindrer at datamaskinen ber om passord når du logger inn på den.
Metoden krever at angriperen har fysisk tilgang til datamaskinen, men slik videoen under viser, kreves det bare at eieren er borte fra maskinen noen få minutter.
- Ruytenberg løsner bakdekselet på en passordbeskyttet bærbar pc.
- Deretter kobler han et instrument til Thunderboltens mikrochip og skrur av sikkerheten.
- Når dette er gjort kobler han et annet instrument i datamaskinens Thunderbolt-port og kan legge inn ondsinnet kode som skrur av passordet i Windows.
Dette er mulig fordi Thunderbolt har såkalt «direkte minnetilgang» (DMA), altså at den får tilgang til å lese eller skrive ny kode i datamaskinens minne.
Intel kjent med problemet
Utstyret Ruytenberg bruker kostet ham drøyt 4000 norske kroner.
Den klumpete størrelsen vil nok vekke oppsikt, men nederlenderen anslår at en bemidlet hacker eller etterretningstjeneste enkelt kan bygge langt mindre og mer diskret utstyr for rundt 100.000 kroner.
Ruytenberg skal presentere de endelige funnene sine på sikkerhetskonferansen Black Hat i sommer. Han advarte Thunderbolt-produsenten Intel allerede i februar og Apple i forrige måned.
Datamaskiner som bruker Windows og Linux er ifølge Ruytenberg utsatt for fem av de sju sårbarhetene som gjør metoden mulig. Også Apple-maskiner som kjører disse operativsystemene har vist seg å være sårbare.
Intel bekrefter i et blogginnlegg at de er gjort kjent med sårbarheten, men sier at de større operativsystemene i løpet av fjoråret har installert DMA-beskyttelse som sørger for at Ruytenbergs metode ikke lenger er mulig.
«Vi anbefaler at man følger vanlig sikkerhetspraksis. Inkludert å kun koble utstyr man stoler på og ikke la andre får fysisk tilgang til datamaskinen.», skriver selskapet i innlegget.
Mener oppdatering ikke hjelper
Ruytenberg hevder på sin side at det ikke er tilstrekkelig med en oppdatering av programvaren, men at Thunderbolt må designes på nytt.
Han mener de som ikke har et sterkt behov for Thunderbolt, bør slå det helt av. Han råder også til å kryptere harddisken og alltid skru datamaskinen helt av når man forlater den.
Han har lagt ut et program på nettsidene sine som lar deg undersøke om pc-en din er utsatt og hva du kan gjøre for å beskytte deg.
PC-produsenten Dell sier til nettstedet Engadget at alle maskiner de har levert fra og med i fjor er utstyrt med DMA-beskyttelse som forhindrer slike angrep. Det samme sier produsenten HP til Wired.
Lenovo, som har produsert datamaskinen som ble brukt i forsøket, sier de nå undersøker informasjonen og vil vurdere videre skritt overfor kundene.
Da Microsoft lanserte sine nye bærbare datamaskiner i forrige måned, var det uten Thunderbolt-kontakt. Ifølge The Verge skal det skyldes utfordringene med direkte minnetilgang.
