Di recente, spiegando la scelta di non integrare una porta Thunderbolt sulla linea Surface, Microsoft ha citato problemi di sicurezza legati a doppio filo al sistema sviluppato da Intel e Apple. Forse il gruppo di Redmond non ha tutti i torti, considerando quanto emerso nel fine settimana: il ricercatore Björn Ruytenberg ha messo a punto un attacco battezzato Thunderspy e in grado di compromettere le difese di un PC dotato della tecnologia.
L’attacco Thunderspy prende di mira i PC con Thunderbolt
Un paio di doverose precisazioni: il metodo sembra essere efficace con i computer prodotti prima del 2019 e basati su Windows o Linux, mentre buona parte di quelli più recenti e tutti quelli con piattaforma macOS non ne sono interessati. Per portare a termine l’operazione è inoltre necessario effettuare l’accesso fisico al dispositivo e in alcuni casi aprire il case o il telaio con un cacciavite. Chiunque in possesso delle abilità può ad ogni modo portarlo a termine in pochi minuti. Tutto ciò che serve è un’attrezzatura dal costo stimato di circa 400 dollari, un dispositivo da collegare alla porta come AKiTiO PCIe Expansion Box Ruytenberg (circa 200 dollari) e un SPI Programmer che si trova facilmente sul mercato a un prezzo irrisorio. Al momento non sembra esserci la possibilità di risolvere la vulnerabilità con un aggiornamento software.
Bisogna solo svitare la copertura, collegare un dispositivo temporaneamente, riprogrammare il firmware e rimontarla per ottenere il pieno accesso al computer. Tutto questo può essere fatto in meno di cinque minuti.
Il ricercatore della Eindhoven University of Technology illustrerà Thunderspy nel dettaglio in occasione della conferenza Black Hat in programma per l’inizio di agosto. L’attacco contente di mettere mano ai dati contenuti nel PC anche se protetti da crittografia o celati dietro una schermata di login. Nel filmato qui sotto la dimostrazione.
Lo scorso anno si è parlato di Thunderclap, serie di falle scovate sempre nella tecnologia Thunderbolt la cui azione può essere mitigata consentendo solo l’utilizzo di dispositivi o periferiche conosciuti oppure disabilitando le funzionalità avanzate di una porta. Accorgimenti che non hanno efficacia contro Thunderspy in quanto quest’ultimo va ad alterare il firmware delegato alla gestione dello slot.
L’unico sistema in grado di mettere al sicuro il computer da questo tipo di violazione è Kernel Direct Memory Access Protection (KDMAP), introdotto lo scorso anno da Intel proprio in conseguenza alla comparsa di Thunderclap, assente dunque su tutti computer commercializzati prima del 2019 e di fatto nemmeno oggi uno standard poiché anche alcuni PC nuovi integrano componenti prodotte in passato.
Un altro modo per portare a termine con successo la violazione è quello che passa dal mettere le mani su un dispositivo già riconosciuto dal computer come “fidato”, al cui interno è possibile trovare un codice di identificazione assegnato: una volta copiato su un’altra periferica quest’ultima è in grado di comportarsi allo stesso modo, aggirando ogni protezione. In questo caso viene meno la necessità di aprire il PC e riprogrammare il firmware. Ruytenberg ha rilasciato uno strumento in download gratuito utile per capire se il proprio computer è vulnerabile all’attacco e se offre il supporto a KDMAP.