Vulnerabilità nei firmware, attachi silenziosi
La pericolosità di un attacco a livello firmware
Gli attacchi a livello firmware di un computer sono fra i più difficili da rilevare essendo eseguiti in maniera “silenziosa” senza che l’utente si accorga di nulla. Purtroppo questo tipo di attacchi sono possibili anche se il disco è cifrato in quanto il tutto avviene a livello firmware.
Cos’è un firmware?
Il firmware è un programma integrato direttamente dentro qualsiasi componente elettronico programmato dentro una memoria flash quasi sempre una eeprom.
Questo è installato dal produttore del dispositivo nell’hardware, nei moderni computer esiste un firmware sulla scheda madre chiamato UEFI (Unified Extensible Firmware Interface) anche se molti ancora lo chiamano bios. Ma tanti altri firmware sono sulle varie periferiche di un pc, come il firmware dell’hardisk che permette allo stesso di scrivere in maniera corretta i dati sui vari piatti del disco rigido, o nelle SSD ma persino nelle periferiche esterne.
Sicurezza dei Firmware
Ognuno di questi firmware purtroppo è un potenziale bug per permettere ad un hacker l’accesso ai vostri dati. Purtroppo esistono delle periferiche pericolose e dei firmware non firmati. Quindi serve una garanzia (firma) sul contenuto dei firmware, se questo è infetto o contiene delle vulnerabilità potrebbe essere sfruttato per un eventuale attacco informatico.
I produttori di Hardware
Se dobbiamo parlare di produttori che tengono molto alla sicurezza dei loro prodotti dobbiamo sicuramente menzionare DELL e APPLE, ma anche HP Lenovo e Fujitsu sui prodotti business offrono delle tecnologie e degli aggiornamenti che garantiscono una buona sicurezza. Vanno ricordati però i bug Active Management Technology nei chipset intel che esulano i produttori dalla sicurezza. Ma non tutti i produttori col passare degli anni garantiscono aggiornamenti firmware volti a coprire eventuali bug che si possono riscontrare. Per cui è fondamentale tenere sempre aggiornati i firmware, soprattutto se i dati nella vostra azienda possono contenere informazioni “sensibili”.
Come si svolge un attacco firmware
Questo tipo di attacchi “firmware attack” riescono ad aggirare il sistema operativo del computer e qualsiasi software antivirus visto che il codice del firmware si trova direttamente nell’hardware del computer. Pur eseguendo regolarmente aggiornamenti tramite patch update della parte software se i firmware hanno un bug questo può essere sfruttato. Con questi attacchi firmware in passato gli hacker sono riusciti ad avere pieno accesso al disco rigido, installare ransomware per poi chiedere un riscatto. Purtroppo è un fenomeno in aumento, gli attacchi da parte degli hacker tendono a colpire i prodotti di maggiore consumo.
L’attacco ai firmware del 2015: I rischi messi in luce da Eclypsium non sono affatto solo teorici, anzi: già nel 2015 fu scoperto un gruppo attivo nello spionaggio informatico, l’Equation Group, molto probabilmente legato addirittura alla NSA, la National Security Agency degli Stati Uniti. Tra i vari strumenti utilizzati dall’Equation Group per spiare computer in mezzo mondo c’era proprio un modulo per riprogrammare il firmware di un disco rigido inserendovi un codice malevolo.
I ricercatori di Kaspersky che lo hanno scoperto hanno affermato che la sua capacità di modificare il firmware del disco rigido, che è un componente presente in qualsiasi computer, “supera qualsiasi altra cosa” che abbiano mai visto. Questo sistema, inoltre, aveva anche un’altra caratteristica: poteva creare spazio di archiviazione invisibile sul disco rigido, per nascondere i dati rubati all’utente per permettere agli aggressori di recuperarli in un secondo momento.
Conclusioni
Purtroppo questo tipo di problema essendo indipendente dal sistema operativo utilizzato è diffuso in tutti i componenti elettronici. Apple esegue la verifica della firma su tutti i file in un pacchetto driver, incluso il firmware, per mitigare questo tipo di attacco. La soluzione, però, ci sarebbe: il dispositivo stesso dovrebbe eseguire la verifica della firma, prima di consentire l’aggiornamento del firmware, anziché dipendere dal sistema operativo per eseguire questa verifica.