12.05.2020, 12:56

Thunderbolti pesa laseb häkkeril su andmed viie minutiga pihta panna

Lauri Jürisoo

forte.ee toimetaja

Foto: AFP

Thunderbolti ühendust pakkuvad tehnoloogiaseadmed on müügil juba üle üheksa aasta. Nüüd tabas Thunderbolti aga esimene suur mainelaks – see on häkkeritele võrdlemisi kerge saak.

Naljakal kombel ei puuduta uudis Apple'i arvuteid, mis on tuntuim näide Thunderbolti kasutamisest USB asemel (oht tekib alles Boot Campi lahendust kasutades). Aga turvaekspert Björn Ruytenberg selgitab, et Thunderbolti pesa(de)ga Windowsi või Linuxi arvutid on häkkeritele üllatavalt kerge saak.

Thunderbolti liideses elutseb nimelt suur nõrkus, mis laseb arvuti ligi pääsenud kurikaelal andmetele ligi pääseda kõigest viie minuti jooksul – ka siis, kui arvuti on lukustatud ja andmed krüpteeritud.

Ruytenbergi kirjeldatud üsna lihtne võte sai nimeks Thunderspy. Selle raske osa on arvutile lähedale pääseda, mis pole häkkeritele alati võimalik. Kui aga pääseb ja tal on kruvikeeraja, siis on suurem töö tehtud.

Thunderbolti kiire andmeedastus põhineb sellel, et annab selle kaudu ühendatud välisseadmetele otseligipääsu arvuti mällu (mis pakub juba ise nõrkusi).

Seni arvati, et nende nõrkuste vastu aitab kahtlastele seadmetele ligipääsu mitteandmine või Thunderbolti blokeerimine. Ruytenberg pääses aga neistki takistustest mööda, kui kruvis arvuti kiiresti lahti, eemaldas korraks sellega ühendatud seadme ja muutis püsivara, mis Thunderbolti porti juhib.

Kõik see oli tehtav tema sõnul vähem kui viie minutiga. Püsivara muutmiseks kasutas ta umbes 370eurost mälu programmeerimise seadet (SPI programmer).

"Thunderbolti-seadme ja mäluprogrammeerija saaks ka ühte pisikesse seadmesse kokku panna. Teatud kolmetähelistel agentuuridel poleks selle valmistamisega mingeid raskusi", kommenteerib turvaspets, viidates muidugi FBI-le ja CIA-le.

Selle tulemusel saab iga Thunderbolti toega seade seda pesa kasutada. Lisaks ei jää sissetungist füüsilisi jälgi, nii et kasutaja ei pruugi isegi teada, et tema süsteemi on sisse murtud.

Thunderbolt 3 pesad (Wikimedia Commons / Amin)

Praeguse info põhjal tasub Thunderboltiga arvutit ja sellega ühenduvaid välisseadmeid mitte valveta jätta ning arvutit mitte unerežiimile jätta (pigem välja lülitada või lausa talveunne ehk hibernation'ile saata).

Intel on muide just sellise rünnaku takistamiseks turvasüsteemi (Kernel Direct Memory Access Protection) välja arendanud. Sellega on aga varustatud ainult uuemad Thunderbolti arvutid, mis toodetud vähemalt aastal 2019, ja kõik arvutitootjad seda võimalust ei kasuta.

Siin loos kirjeldatud nõrkus võib olla ka põhjus, miks Microsoft oma Surface-seeria süleritele Thunderbolti ei lisanud. MS on väheseid suuri arvutitootjaid, kes TB-pesa kasutamise vastu tõrgub.

Kui soovid uurida, et kas sinu arvuti on Thunderspy rünnakule avatud, siis võid selleks kasutada tarkvara-tööriista nimega Spycheck.

Björn Ruytenberg töötab Hollandis asuvas Eindhoveni tehnikaülikoolis.

Kommenteeri Loe kommentaare