Tien jaar oude hackingtruc werkt plots weer

Een truc die tien jaar geleden werd ontdekt, om data van een afgesloten laptop te krijgen kan via een omweg nog steeds worden uitgevoerd.

Het gaat om een zogenaamde cold boot aanval. Wanneer een laptop wordt afgesloten, blijft er kort na het uitschakelen nog data in het RAM-geheugen zitten. Maar die data kan worden onttrokken als iemand fysiek toegang heeft tot het toestel.

Het probleem bestaat sinds 2008 en sindsdien hebben laptopbouwers hun toestellen aangepast waardoor het geheugen wordt overschreven. Onderzoekers van securitybedrijf F-Secure ontdekken nu een methode om die overschrijving te voorkomen, waardoor een tien jaar oude aanval weer werkt.

“Er zijn een paar extra stappen voor nodig ten opzichte van de klassieke cold boot-aanval, maar het werkt in combinatie met alle moderne laptops die we hebben getest. Deze techniek is met name relevant in situaties waarin apparaten worden gestolen of op illegitieme wijze worden verkregen. Hackers hebben daarmee alle tijd van de wereld om deze aanval uit te voeren”, aldus Olle Segerdahl, hoofd securityconsultant bij F-Secure.

Het Finse beveiligingsbedrijf heeft haar bevindingen gedeeld met Intel, Microsoft en Apple maar geeft publiek geen technische details. Wel weten we dat firmware-instellingen voor het opstarten niet worden beschermd, waardoor ze kunnen worden aangepast. Daarmee is het mogelijk om de laptop met externe apparatuur zoals een usb-stick op te starten. Eens dat lukt, kan een hacker het RAM-geheugen proberen uit te lezen en zich zo gewone toegang tot de pc verschaffen.

Het goede nieuws is dat de aanval enkel uit te voeren valt als een hacker fysiek aan het toestel kan en dat toestel nog aan staat. Maar volgens F-Secure vormt dit wel extra risico voor toestellen die verloren of gestolen worden. Het raadt bedrijven daarom aan om laptops zo te configureren dat ze zichzelf automatisch afsluiten of in slaapstand gaan en dat gebruikers de Bitlocker-pincode elke keer moeten invoeren.