05 loka Vanha hyökkäystapa uhkaa jälleen organisaatioita
Cold boot attack eli kylmäkäynnistyshyökkäys mahdollistaa kryptatun laitteiston salausavainten tai muiden luottamuksellisten tietojen kaappauksen välimuistista, jos tietokonetta ei ole sammutettu oikein. Kylmäkäynnistyshyökkäys on mahdollista, kun hyökkääjällä on fyysinen pääsy laitteistoon ja tietokone käynnistetään uudelleen. Hyökkääjä pääsee tällöin käsiksi tietokoneen RAM-muistissa oleviin tietoihin.
Kylmäkäynnistyshyökkäyksen vaara koskettaa kaikkia tunnetuimpien PC-valmistajien tietokoneita.
Kylmäkäynnistyshyökkäyksen estäminen
Hyökkäys voidaan estää uusimmissa kannettavissa ylikirjoittamalla RAM-muistin tiedot, mutta tutkijat ovat kuitenkin löytäneet myös keinon, jolla hyökkääjät voivat estää ylikirjoitusprosessin.
Yksi suojatumiskeino on konfiguroida kannettavat niin, että ne sammuvat tai menevät horrostilaan vaatien BitLockerin PIN-koodia aina, kun Windows palautetaan käyttöön. Erittäin suositeltavaa on, ettei lepotilaa käytettäisi ollenkaan.
Organisaatioiden tulee olla tietoisia kylmäkäynnistyshyökkäyksistä ja kouluttaa henkilöstöään mahdollisten hyökkäysten varalle, koska hyökkääjä voi päästä käsiksi organisaation tietoihin tietoturva-aukkoa hyödyntäen. Ulkopuolisilla ei saa olla pääsyä työasemille, eikä niitä saa jättää ilman valvontaa. Henkilöstön täytyy myös osata toimia, jos työasema katoaa tai se varastetaan.
Uusimmista haavoittuvuuksista tiedottivat F-Securen tutkijat. Jos kaipaat lisätietoja työasemien suojaamisesta tai tarvitset apua henkilökunnan tietoturvakoulutukseen, niin otathan yhteyttä asiantuntijoihimme.
Ville Stolpe
IT-joukkueen pelaaja #8
tietoturva-asiantuntija