De Thunderboltverbinding van Intel is slecht beveiligd. De masterstudent Björn Ruytenberg van de TU/e ontdekte zeven beveiligingslekken bij de systemen die op Windows of Linux draaien. Intel is op de hoogte gebracht van het probleem. De onderneming heeft inmiddels maatregelen genomen. Die zijn echter maar voor een beperkt aantal gebruikers beschikbaar.
Miljoenen pc’s en laptops lopen nog steeds het risico op een ‘hack’ via de Thunderbolt-verbinding. Björn Ruytenberg en zijn begeleiders van de faculteit Wiskunde en Informatica raden alle gebruikers van Thunderbolt aan om de functionaliteit uit te zetten.
Vrijwel elke computer is uitgerust met Thunderbolt
Thunderbolt is een computerpoort voor snelle gegevensoverdracht tussen een PC of laptop en andere apparaten, zoals een externe harde schijf. De technologie is wereldwijd te vinden in honderden miljoenen apparaten. Bijna elke nieuwe laptop en desktopcomputer sinds 2011 is met Thunderbolt uitgerust. De poort is te herkennen aan het kleine symbool van een bliksemschicht. Intel beweert dat de toegang via Thunderbolt wordt beschermd door middel van cryptografie, om te voorkomen dat hackers zich ongeoorloofd toegang verschaffen tot een computer. “Maar”, zegt Ruytenberg, “tot mijn verbazing heb ik niets kunnen ontdekken dat echt lijkt op moderne cryptografie. Het weinige dat er was, kon ik gemakkelijk kraken of omzeilen,” zo zegt hij in een interview dat vandaag verscheen op de website van de TU/e.
Negen realistische hack-scenario’s
Ruytenberg vond zeven beveiligingslekken in het ontwerp van Thunderbolt. Hij ontwikkelde negen realistische scenario’s onder de noemer Thunderspy hoe iemand met kwade bedoelingen die kan uitbuiten. Thunderspy werkt buiten het slachtoffer om. Het is niet nodig dat die per ongeluk een schadelijk apparaat aansluit, of malware installeert. Het enige wat de aanvaller nodig heeft, is vijf minuten ongestoorde toegang tot de computer, een schroevendraaier en wat gemakkelijk draagbare hardware. Is hij eenmaal binnen, dan kan hij alle gegevens lezen en kopiëren. Zelfs als de harde schijf versleuteld is, de computer vergrendeld is, of zich in slaapstand bevindt. De aanval laat geen sporen na, dus het slachtoffer weet niet dat hij gehackt is.
Geen patch of update voor apparaten van voor 2019
Het onderzoeksteam van de TU/e heeft in februari contact opgenomen met Intel om de bevindingen met hen te delen. Het bedrijf heeft de kwetsbaarheden bevestigd. De enige oplossing die Intel echter tot dusver biedt Kernel DMA Protection. Deze functie biedt bescherming tegen een aantal van de kwetsbaarheden in Thunderbolt, maar is pas sinds 2019 beschikbaar en dan ook nog maar op een beperkt aantal PC’s en laptops. Bovendien vereist Kernel DMA hardware-ondersteuning, zodat het niet achteraf op oudere systemen kan worden geïnstalleerd. Elk Thunderbolt-geactiveerd systeem dat voor 2019 is geproduceerd en het merendeel van de systemen van na die datum krijgt dus geen patch of update.
Volledig uitschakelen van Thunderbolt
Ruytenberg raadt alle gebruikers van PC’s en laptops aan om Spycheck te downloaden via de website Thunderspy. Dat is een speciaal door hem ontwikkelde tool die controleert of een apparaat kwetsbaar is. Spycheck leidt gebruikers naar aanbevelingen hoe ze hun systeem kunnen beschermen. Een van de oplossingen is het volledig uitschakelen van Thunderbolt in de BIOS-instellingen. Het is ook verstandig om geen enkel systeem met Thunderbolt onbewaakt achter te laten. Zelfs niet voor vijf minuten. Ruytenbergs bevindingen worden gepresenteerd op BlackHat USA2020, een belangrijke informatiebeveiligingsconferentie die in augustus wordt gehouden in de Verenigde Staten.