Veiligheidsexperts TU/e vinden cruciale lekken in Thunderbolt
Een masterstudent van de TU/e heeft cruciale fouten ontdekt in de beveiliging van Thunderbolt, een populaire technologie van Intel (in samenwerking met Apple) om snel gegevens van en naar een computer over te brengen. Het onderzoek toont aan dat een hacker eenvoudig de beveiliging kan omzeilen die Intel heeft ingesteld om kwaadaardige aanvallen te voorkomen. De kwetsbaarheden treffen miljoenen computers en laptops.
Thunderbolt is een computerpoort voor snelle gegevensoverdracht tussen een PC of laptop en andere apparaten, zoals een externe harde schijf. De technologie is wereldwijd te vinden in honderden miljoenen apparaten. Bijna elke nieuwe laptop en desktopcomputer sinds 2011 is met Thunderbolt uitgerust. De poort is te herkennen aan het kleine symbool van een bliksemschicht.
Intel beweert dat de toegang via Thunderbolt wordt beschermd door middel van cryptografie, om te voorkomen dat hackers zich ongeoorloofd toegang verschaffen tot een computer. "Maar", zegt masterstudent Björn Ruytenberg (faculteit Wiskunde & Informatica), "tot mijn verbazing heb ik niets kunnen ontdekken dat echt lijkt op moderne cryptografie. Het weinige dat er was, kon ik gemakkelijk kraken of omzeilen".
Thunderspy
Ruytenberg vond zeven beveiligingslekken in het ontwerp van Thunderbolt en ontwikkelde negen realistische scenario's (onder de noemer Thunderspy) hoe iemand met kwade bedoelingen die kan uitbuiten. Thunderspy werkt buiten het slachtoffer om; het is niet nodig dat die per ongeluk een schadelijk apparaat aansluit of malware installeert.
Het enige wat de aanvaller nodig heeft, is vijf minuten ongestoorde toegang tot de computer, een schroevendraaier en wat gemakkelijk draagbare hardware. Is hij eenmaal binnen, dan kan hij alle gegevens lezen en kopiëren, zelfs als de harde schijf versleuteld is en de computer vergrendeld is of zich in slaapstand bevindt. Thunderspy gaat uiterst geniepig te werk: de aanval laat geen sporen na, dus het slachtoffer weet niet dat hij gehackt is.
Leemtes
Professor Tanja Lange heeft samen met promovendus Jacob Appelbaum de masterscriptie van Ruytenberg begeleid. Volgens haar vult het onderzoek belangrijke leemten in de bestaande kennis over het Thunderbolt-protocol. "Björn heeft onderzocht hoe de beveiligingsmechanismen van Thunderbolt werken en hoe Intel probeert om ongeautoriseerde toegang tot gegevens op de computer te stoppen. Zijn bevindingen hebben kwetsbaarheden blootgelegd die een bedreiging vormen voor vrijwel elke computer die een Thunderbolt-poort heeft en Windows of Linux draait".
Appelbaum prijst Ruytenberg als een zeer gedreven en getalenteerde student. "Het is altijd mooi om te zien als masterstudenten onderzoek van hoog niveau afleveren. Björns bevindingen zullen worden gepresenteerd op BlackHat USA2020, een belangrijke informatiebeveiligingsconferentie die in augustus wordt gehouden in de VS."
Reactie van Intel
Het onderzoeksteam van de TU/e heeft in februari contact opgenomen met Intel om de bevindingen met hen te delen. Het bedrijf heeft de kwetsbaarheden bevestigd. Helaas is de enige oplossing die Intel tot dusver biedt Kernel DMA Protection. Deze functie biedt bescherming tegen een aantal van de kwetsbaarheden in Thunderbolt, maar is pas sinds 2019 beschikbaar en dan ook nog maar op een beperkt aantal PC's en laptops. Bovendien vereist Kernel DMA hardware-ondersteuning, zodat het niet achteraf op oudere systemen kan worden geïnstalleerd. Elk Thunderbolt-geactiveerd systeem dat voor 2019 is geproduceerd en het merendeel van de systemen van na die datum krijgt dus geen patch of update.
Controleer je computer
Wat betekent dit nu voor jouw PC of laptop? Ruytenberg raadt alle gebruikers van PC's en laptops aan om Spycheck te downloaden, een speciaal door hem ontwikkelde tool die controleert of een apparaat kwetsbaar is. Spycheck leidt gebruikers naar aanbevelingen hoe ze hun systeem kunnen beschermen. Een van de oplossingen is het volledig uitschakelen van Thunderbolt in de BIOS-instellingen. Het is ook verstandig om geen enkel systeem met Thunderbolt onbewaakt achter te laten, zelfs niet voor vijf minuten.
De verantwoordelijke dienst Information Management & Services (IMS) van de TU/e laat weten blij te zijn met Ruytenbergs tool zal contact opnemen met de onderzoekers om te kijken of zij ondersteuning kan bieden bij het verder doorontwikkelen van Spycheck. IMS schat in dat de risico's voor TU/e-medewerkers beperkt zijn zolang ze thuis werken, maar adviseert notebooks buitenshuis niet onbeheerd achter te laten en uit te zetten in plaats van in de slaapstand. Wie Thunderbolt niet nodig denkt te hebben wordt aangeraden om deze te deactiveren en kan indien nodig contact opnemen met de helpdesk. IMS ziet vooralsnog geen reden om onbeheerde kwetsbare werkstations van het netwerk te weren.
Discussie