Die Thunderbolt-Verbindung von Intel ist schlecht gesichert. Master-Student Björn Ruytenberg der TU/e hat sieben Sicherheitslücken in den Systemen entdeckt, die unter Windows oder Linux laufen. Intel wurde über das Problem informiert. Das Unternehmen hat bereits Maßnahmen ergriffen. Diese sind jedoch nur für eine begrenzte Anzahl von Benutzern verfügbar.
Millionen von PCs und Laptops sind immer noch dem Risiko eines „Hacks” über die Thunderbolt-Verbindung ausgesetzt. Björn Ruytenberg und seine Betreuer von der Fakultät für Mathematik und Informatik raten allen Benutzern von Thunderbolt, die Funktion abzuschalten.
Fast jeder Computer hat Thunderbolt
Thunderbolt ist ein Computeranschluss für den schnellen Datentransfer zwischen einem PC oder Laptop und anderen Geräten, wie z.B. einer externen Festplatte. Die Technologie ist weltweit in Hunderten von Millionen Geräten zu finden. Fast jeder neue Laptop und Desktop-Computer, der seit 2011 hergestellt wurde, ist mit Thunderbolt ausgestattet. Der Port ist an dem kleinen Blitz-Symbol zu erkennen. Intel behauptet, dass der Zugriff über Thunderbolt durch Verschlüsselung geschützt ist, um Hackern den unbefugten Zugriff auf einen Computer zu verwehren. „Aber”, so Ruytenberg, „zu meiner Überraschung habe ich nichts entdecken können, was wirklich der modernen Verschlüsselung ähnelt. Das wenige, was da war, konnte ich leicht knacken oder umgehen”, sagt er in einem Interview, das heute auf der TU/e-Website erschienen ist.
Neun realistische Hacking-Szenarien
Ruytenberg fand sieben Sicherheitslücken im Design von Thunderbolt. Er entwickelte neun realistische Szenarien unter dem Namen Thunderspy, wie jemand mit bösen Absichten diese ausnutzen kann. Thunderspy arbeitet außerhalb des Hacking-Opfers. Es ist nicht erforderlich, dass ein schädliches Gerät angeschlossen oder Malware installiert wird. Der Angreifer benötigt lediglich fünf Minuten ungestörten Zugriff auf den Computer, einen Schraubenzieher und leicht tragbare Hardware. Einmal drinnen, kann er alle Daten lesen und kopieren. Selbst wenn die Festplatte verschlüsselt ist, ist der Computer gesperrt oder befindet sich im Ruhemodus. Der Angriff hinterlässt keine Spuren, sodass das Opfer nicht weiß, dass es gehackt wurde.
Kein Patch oder Update für Geräte vor 2019
Das Forschungsteam der TU/e nahm im Februar Kontakt mit Intel auf, um seine Ergebnisse mitzuteilen. Das Unternehmen bestätigte die Schwachstellen. Die bisher einzige Lösung von Intel ist jedoch der Kernel-DMA-Schutz. Er bietet Schutz gegen einige der Schwachstellen in Thunderbolt, ist aber erst seit 2019 und nur auf einer begrenzten Anzahl von PCs und Laptops verfügbar. Darüber hinaus benötigt der Kernel DMA-Schutz Hardware, so dass er nicht auf älteren Systemen nachgerüstet werden kann. Daher werden alle Thunderbolt-fähigen Systeme, die vor 2019 hergestellt wurden, und die Mehrheit der nach diesem Datum hergestellten Systeme kein Patch oder Update erhalten.
Vollständige Deaktivierung von Thunderbolt
Ruytenberg rät allen Benutzern von PC’s und Laptops, Spycheck über die Website Thunderspy herunterzuladen. Dabei handelt es sich um ein von ihm speziell entwickeltes Werkzeug, das prüft, ob ein Gerät angreifbar ist. Spycheck gibt Benutzern Empfehlungen, wie sie ihr System schützen können. Eine der Lösungen ist die vollständige Deaktivierung von Thunderbolt in den BIOS-Einstellungen. Es empfiehlt sich auch, kein System mit Thunderbolt unbewacht zu lassen. Nicht einmal für fünf Minuten. Ruytenbergs Ergebnisse werden auf der BlackHat USA2020 vorgestellt, einer wichtigen Konferenz zur Informationssicherheit, die im August in den Vereinigten Staaten stattfinden wird.