niedziela, 28 styczeń 2018 12:02

Uwaga: zagrożone laptopy biznesowe

Napisał
Uwaga: zagrożone laptopy biznesowe fot. sxc.hu

Brak odpowiednich zabezpieczeń umożliwia cyberprzestępcom uzyskanie bezpośredniego, a następnie zdalnego dostępu do niemal dowolnego laptopa biznesowego.

Firma F-Secure zidentyfikowała problem związany z bezpieczeństwem technologii w technologii Intel AMT (Active Management Technology) wykorzystywanej w milionach laptopów biznesowych na całym świecie. Haker, który ma fizyczny dostęp do urządzenia, może najpierw włamać się do niego w niespełna 30 sekund – bez konieczności wprowadzenia poświadczeń (hasło do BIOS-u, Bitlockera, PIN do TPM), aby następnie uzyskać zdalny dostęp do laptopa.
– Uzyskanie dostępu do urządzenia wykorzystującego technologię Intel AMT jest zaskakująco proste, co może stanowić duże zagrożenie dla jej użytkowników. W praktyce cyberprzestępca jest w stanie sprawować pełną kontrolę nad służbowym laptopem pracownika, mimo że ten stosuje wszelkie środki bezpieczeństwa – ostrzega Harry Sintonen, starszy konsultant ds. bezpieczeństwa w F-Secure, który odkrył problem.
Intel AMT to rozwiązanie do zdalnego zarządzania i monitorowania komputerów osobistych klasy korporacyjnej, stworzone po to, aby zapewnić działom IT lub dostawcom usług lepszą kontrolę nad urządzeniami. Technologia powszechnie używana w laptopach biznesowych napotykała w przeszłości problemy związane z bezpieczeństwem. Jednak łatwość z jaką można obecnie uzyskać dostęp do urządzenia bez konieczności stosowania choćby jednej linijki kodu sprawia, że ten rodzaj zagrożenia znacznie różni się od poprzednich.
Istota problemu polega na tym, że ustawienie hasła do BIOS-u, które zwykle uniemożliwia nieautoryzowanemu użytkownikowi uruchomienie urządzenia lub wprowadzenie niskopoziomowych zmian, nie zapobiega uzyskaniu nieautoryzowanego dostępu do AMT BIOS Extension (MEBx). Haker może skonfigurować AMT tak, aby możliwa była zdalna kontrola nad urządzeniem.
Aby uzyskać dostęp do laptopa, wystarczy uruchomić ponownie urządzenie i nacisnąć klawisze CTRL-P podczas rozruchu. Następnie haker może zalogować się do Intel Management Engine BIOS Extension (MEBx), używając hasła „admin”, ustawionego jako domyślne w większości biznesowych laptopów. Kolejny krok to zmiana domyślnego hasła, aktywowanie zdalnego dostępu i wyłączenie konieczności wyrażania zgody na zdalną sesję poprzez zmianę opcji AMT user opt-in na none. Od tego momentu haker może uzyskiwać zdalny dostęp do systemu przez sieć przewodową lub bezprzewodową – pod warunkiem, że jest zalogowany do tej samej sieci, z której korzysta ofiara.

Dostęp do urządzenia jest również możliwy spoza sieci za pośrednictwem zarządzanego przez cyberprzestępcę serwera CIRA.

Szybkość, z jaką można przeprowadzić atak, czyni go łatwo wykonalnym w tzw. scenariuszu Evil Maid:
– Załóżmy sytuację, że pracownik firmy zostawia laptopa w pokoju hotelowym i wychodzi. Haker włamuje się do pokoju i zmienia ustawienia komputera w niespełna minutę, po czym może uzyskać dostęp do pulpitu, kiedy pracownik korzysta z laptopa, łącząc się z bezprzewodową siecią hotelową. Ponieważ urządzenie łączy się z firmową siecią VPN, cyberprzestępca może uzyskać dostęp do zasobów przedsiębiorstwa. Wystarczy minuta nieuwagi na lotnisku lub w kawiarni, żeby haker przejął kontrolę nad laptopem – podkreśla Sintonen.
Odkrył on problem w lipcu 2017 r. i zaznacza, że inny badacz również zwrócił uwagę na to zagrożenie w niedawnym wystąpieniu. Szczególnie istotne jest, aby organizacje dowiedziały się o problemie i zadziałały prewencyjnie, zanim zaczną to wykorzystywać cyberprzestępcy. Jak mówi Sintonen, o podobnym zagrożeniu informowała wcześniej organizacja CERT-Bund, ale dotyczyło to zmian konfiguracji urządzenia za pomocą dysku USB. 
Problem dotyczy większości laptopów obsługujących Intel Management Engine / Intel AMT i nie jest związany z ostatnio ujawnionymi lukami Spectre oraz Meltdown.

Intel zaleca, aby producenci wymagali podawania hasła do BIOS-u w celu skonfigurowania Intel AMT. Dostępny jest dokument z zaleceniami dotyczącymi podjęcia odpowiednich środków bezpieczeństwa, przygotowany w tym celu przez firmę Intel, z grudnia 2017 r.: “Security Best Practices of Intel Active Management Technology Q&A.”

Zalecenia

- dla użytkowników końcowych:

  • nie należy zostawiać laptopa bez nadzoru, szczególnie w miejscach publicznych.
  • zalecany jest kontakt z działem IT w firmie w celu skonfigurowania urządzenia.
  • w przypadku własnego urządzenia, należy ustawić silne hasło dla AMT, nawet jeśli nie planuje się korzystania z tej technologii. Jeśli dostępna jest opcja wyłączenia AMT, warto z niej skorzystać. Jeśli hasło jest już ustawione na nieznaną wartość, urządzenie mogło zostać w przeszłości zaatakowane.

- dla organizacji:

  • zalecana jest zmiana procesu konfigurowania systemów tak, aby obejmował ustawianie silnego hasła AMT lub wyłączenie AMT, jeśli taka opcja jest dostępna.
  • należy skonfigurować hasło AMT we wszystkich obecnie używanych urządzeniach. Jeśli hasło jest już ustawione na nieznaną wartość, należy traktować urządzenie jako podejrzane i rozpocząć procedurę reagowania na incydent bezpieczeństwa.

Sponsor strategiczny

Kapsh Telematic Systems - sponsor strategiczny PGZ

Sponsor główny

Sponsor główny: PKO Linia Hutnicza Szerokotorowa Sp. z o.o.

Partner

Partner PGZ: Jeronimo Martins Polska S.A., właściciel sieci sklepów Biedronka.

Partnerzy debaty

partnerzy debaty PGZ

Partnerzy medialni

logotypy partnerow medialnych Pracodawca Godny Zaufania

Zamów newsletter

Na górę
Polityka Prywatności

W celu realizacji obowiązku informacyjnego, zgodnie z art. 13 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. poniżej przekazujemy „klauzulę informacyjną” z prośbą o zapoznanie się.


Polityka prywatności i przetwarzania danych osobowych

Administratorem Twoich danych osobowych jest Impresja Studio Promocji z siedzibą w Warszawie, przy ulicy Drewnianej 5 lok. 3,. Poniżej znajdziesz wszelkie niezbędne informacje dotyczące przetwarzania Twoich danych osobowych w związku z realizacją usługi informacyjnej.

2. Przedstawicielem Administratora jest Tomasz Brzozowski: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.

3. Dane osobowe przetwarzane są w celu w celu świadczenia usług informacyjnych oraz w celach marketingowych. Podstawą prawną jest art. 6 ust. 1 lit a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE - „RODO”).

4. Dane będą przetwarzane w celach marketingowych do momentu wycofania przez Ciebie zgody na takie przetwarzanie.

W zakresie usług Impresja Studio PR Twoje dane będą przetwarzane przez okres, w którym usługi te będą świadczone oraz, w uzasadnionych wypadkach, po zakończeniu ich świadczenia, jednak wyłącznie jeżeli jest dozwolone lub wymagane w świetle obowiązującego prawa np. przetwarzanie w celach statystycznych, rozliczeniowych lub w celu dochodzenia roszczeń. W takim przypadku dane będą przetwarzane jedynie przez okres niezbędny do realizacji odpowiednich celów.

5. Po zakończeniu przetwarzania danych osobowych w pierwotnym celu, dane będą, w uzasadnionych wypadkach, przetwarzane po zakończeniu ich świadczenia, jednak wyłącznie jeżeli jest dozwolone lub wymagane w świetle obowiązującego prawa np. przetwarzanie w celach statystycznych, rozliczeniowych lub w celu dochodzenia roszczeń. W takim przypadku dane będą przetwarzane jedynie przez okres niezbędny do realizacji odpowiednich celów.

6. Podanie danych jest dobrowolne

7. Twoje dane osobowe nie będą przekazywane.

8. Jako administrator Twoich danych, zapewniamy Ci prawo dostępu do Twoich danych, możesz je również sprostować, żądać ich usunięcia lub ograniczenia ich przetwarzania. Możesz także skorzystać z uprawnienia do złożenia wobec Administratora sprzeciwu wobec przetwarzania Twoich danych oraz prawa do przenoszenia danych do innego administratora danych. W przypadku wyrażenia dobrowolnej zgody, przysługuje Ci prawo cofnięcia zgody na przetwarzanie danych w dowolnym momencie co nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem. Informujemy także, że przysługuje Ci prawo wniesienia skargi do organu nadzorującego przestrzeganie przepisów ochrony danych osobowych.

9. Na niniejszej witrynie znajdują się wtyczki społecznościowe serwisu Facebook: „Lubię to”, które są powiązane z serwisem Facebook. Pod naszym artykułami umieszczany jest kod odwołujący się do serwisu Facebook. Używając przycisku „Lubię to”, użytkownik loguje się do serwisu Facebook, w którym obowiązują zasady ochrony prywatności określone przez serwis Facebook.

10. Ta strona zbiera w sposób automatyczny informacje zawarte w plikach cookies i wykorzystuje je w celach statystycznych oraz do usprawnienia funkcjonowania serwisu. Pliki Cookiem są też zbierane przez Google Analytics. Pliki cookies są plikami tekstowymi, które przechowywane są w komputerze użytkownika serwisu.

Wykorzystujemy dwa rodzaje plików cookies – tymczasowe i stałe. Pliki tymczasowe przechowywane są do momentu opuszczenia przez Ciebie naszej strony (poprzez wejście na inną stronę, wylogowanie lub wyłączenie przeglądarki). Pliki stałe przechowywane są w Twoim komputerze do czasu ich usunięcia lub przez czas wynikający z ich ustawień.

W każdej chwili możesz dokonać zmiany ustawień swojej przeglądarki, aby zablokować obsługę plików cookies lub każdorazowo uzyskiwać informacje o ich umieszczeniu w swoim urządzeniu. Inne dostępne opcje możesz sprawdzić w ustawieniach swojej przeglądarki internetowej. Większość przeglądarek domyślnie jest ustawione na akceptację zapisu plików cookies w komputerze. Informacje dotyczące ustawień przeglądarek internetowych dostępne są w jej menu (pomoc) lub na stronie jej producenta.

Korzystając z tej strony wyrażasz zgodę na wykorzystywanie cookies zgodnie z ustawieniami Twojej przeglądarki.