Hoewel geheugenaanvallen op device encryptie via Firewire al enige jaren oud zijn, vestigt het onderzoek en de Metasploit tooling van Albert Spruyt & Rory Breuk weer even vol de aandacht op de achilleshiel van laptop versleuteling.

Waar komt deze kwetsbaarheid vandaan?
Laptops hebben diverse interfaces die direct met het geheugen van de computer mogen communiceren (zgn. DMA of Direct Memory Access). Deze geheugentoegang biedt aanvallers de kans om actieve encryptiesleutels uit het RAM van de laptop te lezen, zelfs als het scherm is gelockt. Men hoeft dus niet bij de Mac, windows of linux interface van de PC te kunnen om een programma te kunnen starten om geheugen uit te kunnen lezen. Toegang tot een Firewire, PCMCIA, Thunderbold of eSATA interface is voldoende. Met de uitgelezen encryptiesleutels kan vervolgens de harde schijf ontsleuteld worden, waardoor de data en de wachtwoordhashes van de gebruikers toegankelijk worden. De aanval is

Wat doe ik hier tegen?
De aanval is niet volledig tegen te gaan. Eigenlijk zouden de ontwikkelaars van besturingssystemen bescherming in moeten bouwen in de wijze waarop externe interfaces toegang tot het geheugen van de computer krijgen. Maar er zijn wel een aantal maatregelen te treffen die de kans op misbruik reduceren.
1. Maak gebruik van preboot authenticatie, waarbij gebruikers al een wachtwoord intikken voordat encryptiesleutels in het geheugen worden geladen. Voor bitlocker zijn dit opties als: TPM+PIN, TPM+USB and TPM+PIN+USB.
2. Schakel de hybernation mode uit. Een zeer gebruikersvriendelijke optie, maar hij voorkomt wel dat aanvallers een gestolen laptop via deze aanval eenvoudig kunnen ontsleutelen omdat de encryptiesleutels nog in de "hybernate state" zijn geladen.
3. Schakel externe interfaces met DMA toegang uit. Bijvoorbeeld in de BIOS of in het besturingssysteem. Ook dit is onprettig voor gebruikers die de interfaces willen gebruiken. Daarnaast voorkomt het niet alle cold boot aanvallen.

@classityinfosec