Hacker modifica codice sorgente

Firmware, allarme sicurezza: i rischi per i PC

Gli attacchi ai firmware non sono (ancora) molto diffusi, ma proprio per questo appaiono pił pericolosi. Ecco i rischi che si possono correre
Firmware, allarme sicurezza: i rischi per i PC FASTWEB S.p.A.

Ognuno dei componenti principali dei dispositivi elettronici moderni ha un firmware, cioè un chip di memoria contenente le istruzioni base per avviare tale componente e renderlo disponibile al resto dell'hardware. Nei moderni PC c'è un firmware generale, quello della scheda madre chiamato UEFI (ma molti lo chiamano ancora BIOS), e tanti altri firmware delle varie componenti e periferiche: c'è il firmware dell'hard disk, quello della scheda video, quello dell'audio integrato, della scheda di rete e c'è un firmware persino nelle webcam e nei trackpad dei laptop.

Ognuno di questi firmware è una potenziale porta d'accesso per gli hacker e, se "cade nelle mani sbagliate", non c'è modo di saperlo. È l'allarme lanciato dalla società di sicurezza elettronica Eclypsium, che ha recentemente pubblicato un report abbastanza allarmante dal titolo "Periferiche pericolose: i rischi nascosti dentro i computer Windows e Linux". Il rischio, secondo Eclypsium, è insito nei firmware "non firmati".

Cosa vuol dire che il firmware non è firmato

Il firmware è il primo codice che viene eseguito all'avvio del componente elettronico: quando accendiamo un computer la scheda madre carica il primo firmware, cioè la UEFI, per poi "svegliare" ad uno ad uno tutti i firmware di tutte le componenti del computer. Una volta che tutti i firmware sono stati attivati le componenti iniziano a rispondere ai comandi ed è possibile caricare il sistema operativo (perché il firmware dell'hard disk ha reso disponibile i dati contenuti nel disco) e usare il computer normalmente.

Hacker modifica codice

Il problema è che serve una garanzia sul contenuto del firmware stesso, perché se il firmware è infetto ci mette poco a infettare anche altri firmware e tutto il computer. Tale garanzia è la firma, una chiave di sicurezza pubblica o privata che conferma che il firmware non è stato manomesso, che "ci possiamo fidare". Molte periferiche non verificano che il firmware sia correttamente firmato con una chiave di alta qualità prima di eseguire il codice. Ciò significa che questi componenti non hanno modo di convalidare che il firmware caricato dal dispositivo sia autentico e debba essere considerato attendibile. E qui sta tutto il problema.

L'attacco ai firmware del 2015

I rischi messi in luce da Eclypsium non sono affatto solo teorici, anzi: già nel 2015 fu scoperto un gruppo attivo nello spionaggio informatico, l'Equation Group, molto probabilmente legato addirittura alla NSA, la National Security Agency degli Stati Uniti. Tra i vari strumenti utilizzati dall'Equation Group per spiare computer in mezzo mondo c'era proprio un modulo per riprogrammare il firmware di un disco rigido inserendovi un codice malevolo.

I ricercatori di Kaspersky che lo hanno scoperto hanno affermato che la sua capacità di modificare il firmware del disco rigido, che è un componente presente in qualsiasi computer, "supera qualsiasi altra cosa" che abbiano mai visto. Questo sistema, inoltre, aveva anche un'altra caratteristica: poteva creare spazio di archiviazione invisibile sul disco rigido, per nascondere i dati rubati all'utente per permettere agli aggressori di recuperarli in un secondo momento.

Ricerca codice hacker

E questo apriva le porte a una terza caratteristica, la più pericolosa di tutte: i dati venivano spostati in una zona non criptata anche se sul disco era stata attivata la crittografia. Il firmware, infatti, lavora "sotto" il sistema operativo.

Firmware non sicuri: i test di Eclypsium

Ma torniamo al report di Eclypsium che, come dicevamo, è tutt'altro che teorico. L'azienda ha provato a mettere in pratica una delle tante possibili tecniche per attaccare un firmware, anzi due: quello del trackpad e quello del trackpoint (il piccolo stick usato al posto del mouse, che si trova tra i tasti della tastiera) di un laptop Lenovo ThinkPad X1 Carbon di sesta generazione. Si tratta di un computer moderno, attualmente in commercio, ossia scelta come macchina aziendale da fare usare ai dipendenti. Entrambi i firmware analizzati usano firmware non firmati e, di conseguenza, modificabili da un hacker.

Stesso test, con lo stesso risultato, è stato eseguito anche con il firmware della webcam del laptop HP Spectre x360 Convertible 13-ap0xxx, un convertibile di alta gamma e di ultima generazione. In questo caso Eclypsium è riuscita addirittura a modificare il firmware della webcam direttamente con il software ufficiale di HP: quindi, se gli hacker riuscissero a violare i server del costruttore e a sostituire i file degli aggiornamenti dei firmware sarebbe un vero disastro.

Hacker al lavoro

Ancora un test: Eclypsium ha verificato la presenza, o assenza, della firma anche sul firmware della scheda di rete di un altro laptop di alto livello attualmente in vendita, il Dell XPS 15 9560. In questo caso è stato possibile modificare il firmware, ma tra i dettagli del driver su Windows 10 era possibile vedere che, dopo l'aggiornamento, mancava la firma.

Un problema di sicurezza enorme

Eclypsium descrive quello dei firmware non firmati come un "Industry-Wide security problem", cioè un problema diffuso in tutta l'industria dell'elettronica. E quindi ben più grosso di quanto chiunque potrebbe pensare, "un problema che interessa un ampio spettro di marchi e di loro fornitori". Altrettanto importante, questo problema riguarda praticamente tutte le classi di dispositivi Windows e Linux, dai laptop ai server. Apple esegue la verifica della firma su tutti i file in un pacchetto driver, incluso il firmware, per mitigare questo tipo di attacco.

Al contrario, Windows e Linux eseguono questo tipo di verifica solo quando il pacchetto è inizialmente installato. La soluzione, però, ci sarebbe: il dispositivo stesso dovrebbe eseguire la verifica della firma, prima di consentire l'aggiornamento del firmware, anziché dipendere dal sistema operativo per eseguire questa verifica.

 

1 maggio 2020

copyright CULTUR-E
Condividi
ChiudiChiudi Questo sito usa cookies di profilazione, propri e di terzi, per adeguare la pubblicità alle tue preferenze.
Clicca qui per maggiori informazioni o per conoscere come negare il consenso. Se chiudi questo banner o accedi ad altri elementi della pagina acconsenti all'uso dei cookies.

Iscriviti alla
newsletter del
Digital Magazine di
Fastweb

Riceverai ogni settimana le notizie più interessanti sul mondo della tecnologia!
Iscriviti

Grazie per esserti iscritto!

Abbiamo inviato una mail all'indirizzo che hai indicato: per completare l'iscrizione alla newsletter del Digital Magazine di FASTWEB clicca sul link all'interno della mail