{"id":23552,"date":"2020-12-10T16:27:21","date_gmt":"2020-12-10T14:27:21","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=23552"},"modified":"2020-12-10T16:27:21","modified_gmt":"2020-12-10T14:27:21","slug":"evil-maid-attack","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/evil-maid-attack\/23552\/","title":{"rendered":"Come evitare un attacco “evil-maid”, o della cameriera malvagia"},"content":{"rendered":"

Un attacco evil-maid<\/a> \u00e8 il pi\u00f9 primitivo che ci sia, ma \u00e8 anche una delle tipologie pi\u00f9 spiacevoli. Avventandosi sui dispositivi incustoditi, la \u201ccameriera malvagia\u201d cerca di rubare informazioni segrete o di installare spyware e strumenti per l\u2019accesso remoto, con lo scopo di entrare nella rete aziendale. In questo post vi spiegheremo come difendervi.<\/p>\n

Un esempio classico<\/h2>\n

Nel dicembre 2007, una delegazione del Dipartimento del Commercio degli Stati Uniti si \u00e8 recata a Pechino per un colloquio su una strategia comune con lo scopo di fermare la pirateria. Al ritorno negli Stati Uniti, tuttavia, il portatile del segretario conteneva degli spyware<\/a> la cui installazione richiede l\u2019accesso fisico al computer. Il proprietario del portatile ha confermato di aver avuto il dispositivo sempre con s\u00e9 durante le trattative e di averlo lasciato nella sua stanza d\u2019albergo, nella cassaforte, solo durante la cena.<\/p>\n

In teoria, un professionista pu\u00f2 compromettere un dispositivo in 3 o 4 minuti, ma questo genere di situazioni tende a verificarsi quando il computer viene lasciato incustodito e sbloccato (o non protetto da password). Ma anche prendendo le dovute misure di sicurezza di base, un attacco evil-maid pu\u00f2 comunque essere possibile.<\/p>\n

Come fanno i criminali informatici ad accedere alle informazioni?<\/h2>\n

Esistono molti modi per arrivare alle informazioni critiche; dipende da quanto \u00e8 vecchio il computer e dal software di sicurezza attivo. Ad esempio, i dispositivi meno recenti che non supportano l\u2019Avvio protetto (Secure Boot) possono essere avviati mediante unit\u00e0 esterne e, di conseguenza, non hanno mezzi per difendersi dagli attacchi evil-maid. Sui PC moderni di solito l\u2019Avvio protetto \u00e8 attivo di default.<\/p>\n

Le porte di comunicazione che supportano lo scambio veloce di dati o l\u2019interazione diretta con la memoria del dispositivo possono servire per l\u2019estrazione di dati personali o aziendali. Thunderbolt, ad esempio, raggiunge la sua elevata velocit\u00e0 di trasmissione dati attraverso l\u2019accesso diretto alla memoria, spalancando le porte agli attacchi evil-maid.<\/p>\n

La scorsa primavera, l\u2019esperto di sicurezza informatica Bj\u00f6rn Ruytenberg ha condiviso un modo per violare la sicurezza di qualsiasi dispositivo Windows o Linux<\/a> con Thunderbolt abilitato, anche se bloccato e disattivata la connessione di dispositivi non convenzionali attraverso interfacce esterne. Il metodo di Ruytenberg, soprannominato Thunderspy, presuppone l\u2019accesso fisico al dispositivo e bisogna riscrivere il firmware del controller.<\/p>\n

Per portare a termine Thunderspy, il cybercriminale deve riprogrammare il chip Thunderbolt con la sua versione del firmware. Il nuovo firmware disabilita la protezione incorporata e il cybercriminale ottiene il pieno controllo del dispositivo.<\/p>\n

In teoria, la politica di protezione DMA del kernel risolve la vulnerabilit\u00e0, ma non tutti la utilizzano (e con le versioni prima di Windows 10 non era possibile). Tuttavia, Intel ha annunciato una soluzione al problema: Thunderbolt 4.<\/p>\n

La cara, vecchia USB pu\u00f2 servire anche come canale di attacco. Un dispositivo in miniatura, inserito in una porta USB, si attiva quando l\u2019utente accende il computer e pu\u00f2 eseguire un attacco BadUSB<\/p>\n

Se le informazioni che cercano sono particolarmente preziose, i cybercriminali potrebbero anche provare a rubare il dispositivo per sostituirlo con uno simile che contiene gi\u00e0 lo spyware, un\u2019impresa ardua e costosa. Certo, lo scambio verr\u00e0 smascherato abbastanza in fretta, ma molto probabilmente solo dopo che la vittima avr\u00e0 inserito la propria password. Per fortuna come abbiamo detto, si tratta di un\u2019operazione difficoltosa e onerosa.<\/p>\n

Come ridurre i rischi al minimo<\/h2>\n

Il modo pi\u00f9 semplice e affidabile per proteggervi dagli attacchi evil-maid \u00e8 quello di custodire il dispositivo in un luogo al quale solo voi avete accesso. Non lasciatelo in una stanza d\u2019albergo se potete evitarlo, per esempio. Se i vostri dipendenti devono andare in viaggio d\u2019affari con un computer portatile, ecco alcune misure che potete adottare per attenuare i rischi:<\/p>\n

Utilizzate portatili temporanei senza accesso a sistemi aziendali critici o a dati di lavoro, quindi formattate l\u2019hard disk e reinstallate il sistema operativo dopo ogni viaggio;<\/p>\n