Миллионы компьютеров оказались под угрозой из-за разъема Thunderbolt

Специалист в области информационной безопасности Бьорн Руйтенберг открыл новый способ получить данные с компьютеров на Windows, выпущенных до 2019 года и оснащенных разъемом Thunderbolt. Взломать устройство можно за всего лишь за пять минут, подключившись через этот порт. О том, как это сделать, показано на видеозаписи, опубликованной на канале Thunderspy в YouTube.

Данный метод основан исключительно на физическом контакте компьютера и хакера - удаленно взломать ПК не получится. Устройство, на которое производится атака, должно быть включено. Главная задача хакера состоит в том, чтобы обойти процедуру ввода пароля в операционной системе Windows. После подключения программатора злоумышленник обновляет микрокод в разъеме Thunderbolt, отключая все функции, которые связаны с информационной безопасностью. Затем на компьютер жертвы загружается программа, способная обойти процедуру ввода пароля при входе в операционную систему. Как только хакер получит доступ к ОС, он сможет выполнить любые действия на компьютере.

По мнению Руйтенберга, реализовать защиту от взлома на программном уровне нельзя. Поэтому специалист советует ограничивать доступ к своему устройству посторонним лицам и отключать порт Thunderbolt в настройках.

Но с Руйтенбергом не согласен Евгений Лифшиц, руководитель агентства Кибербезопасности: "История с Thunderbolt это истерия на пустом месте. Всего один факт: использование уязвимости требует физического доступа хакера к устройству и даже вскрывания корпуса ПК. Такие уязвимости находят регулярно в значительном количестве, и они разной степени изощренности, но давайте рассуждать логично: если у хакера есть физический доступ к вашему компьютеру, зачем ему заморачиваться с Thunderbolt? Есть куда более простые способы "вскрыть" устройство и извлечь ваши данные".

По его мнению, на данный момент самым надежным способом защиты является биометрия в сочетании с традиционными методами защиты данных. "Передний край развития биометрии сегодня в банках. Голос подделывать сегодня уже умеют, а вот скан сетчатки или радужки остается надежным методом идентификации. Умное распознавание лиц в ближайшем будущем также станет важным.", - заключает Лифшиц.

Эксперты компании Positive Technologies отмечают, что это уже далеко не первая атака на разъем Thunderbolt: "Обход проверки пароля реализуется при помощи старой техники прямого доступа к памяти через шину PCIe с использованием контроллера DMA (Direct Memory Access), - говорит Александр Анисимов, заместитель генерального директора по исследовательской работе, Positive Technologies. - Однако, имея физический доступ внутрь компьютера, можно достичь практически того же результата, просто модифицировав файлы на жестком диске - что гораздо проще - или перезаписав регион BIOS в SPI (Serial Peripheral Interface) Flash, что делали уже давно".

Анисимов считает, что нейтрализовать такую атаку можно через метод безопасной загрузки, а также используя криптографические средства защиты.