Thunderbolt: una falla di sicurezza mette a rischio milioni di PC

Alla fine della settimana scorsa, il ricercatore della Eindhoven University of Technology, Björn Ruytenberg, ha reso pubblici i dettagli di un nuovo metodo di attacco chiamato Thunderspy, che prende di mira tutti i PC che utilizzano una porta Thunderbolt. Questa nuova tecnica, efficace su un enorme numero di PC prodotti prima del 2019, che utilizzino sistemi operativi Linux e/o Windows, permette di bypassare del tutto ogni eventuale schermata di login di un computer, anche se posto in stand-by, permettendo ad un attaccante l'accesso totale ai dati (anche se crittografati).

Grazie a Thunderspy, è in pratica possibile attuare un attacco noto come "evil maid attack": un qualsiasi PC lasciato incustodito diventa preda di un attaccante, anche se spento o in stand-by. Tutto ciò di cui l'attaccante ha bisogno è di svitare il pannello inferiore del laptop, collegare momentaneamente un dispositivo realizzato ad-hoc per questo attacco, riprogrammare il firmware, e rimontare il pannello del laptop. A questo punto l'attaccante avrà accesso a tutti i dati. Secondo Ruytenberg, questo processo richiede appena 15 minuti, ed una tecnologia che può costare meno di 500 dollari (sebbene sia ipotizzabile anche la produzione di dispositivi miniaturizzabili, con investimenti di maggiore entità).

Björn Ruytenberg ha pubblicato un sito web dedicato a questo problema, con l'intenzione di rendere consapevoli tutti gli utilizzatori dei rischi che si corrono. Ha anche caricato su YouTube un video in cui mostra l'attacco vero e proprio:

Va detto che i rischi legati alla sicurezza di Thunderbolt sono noti da tempo. Non a caso, esiste una raccolta di falle di sicurezza legate a questa tecnologia, nota come Thunderclap, pubblicata da alcuni ricercatori lo scorso anno. I problemi nascono dal fatto che Thunderbolt sfrutta l'accesso alla memoria del computer con lo scopo di aumentare la velocità di trasferimento dei dati. Tuttavia, per ridurre eventuali rischi di sicurezza, Intel (produttrice di Thunderbolt) ha implementato un meccanismo che si basa su una serie di livelli di sicurezza. Aumentando al massimo il livello di sicurezza, di fatto Thunderbolt non accede alla memoria del computer, finendo per comportarsi in modo analogo alle comuni porte USB.

Ma anche sfruttando quest'ultimo meccanismo, è impossibile evitare un attacco Thunderspy.

In realtà, nei nuovi modelli (rilasciati dopo il 2019) è presente una miglioria nota come Kernel Direct Memory Access Protection (Kernel DMA), che previene sia Thunderspy che tutti gli attacchi descritti in Thunderclap. Il vero problema sta nel fatto che la stragrande maggioranza dei laptop attualmente in circolazione non utilizza questo meccanismo aggiuntivo. L'unica nota positiva è sapere che questo problema non riguarda i laptop Apple che sfruttano MacOS come sistema operativo.

Non c'è quindi molto che si possa fare al momento, se non iniziare a mettere da parte qualche soldo e programmare l'acquisto di un nuovo laptop. Nel frattempo, Ruytenberg ha rilasciato un tool (scaricabile gratuitamente qui, e disponibile sia per Linux che per Windows) per verificare se il proprio PC è vulnerabile a questo tipo di attacco o meno.