Es posible que el cifrado de disco no siempre proteja sus datos si alguien roba o simplemente «toma prestado» su computadora, gracias a una nueva técnica de ataque de hardware de «arranque en frío» descubierta por investigadores de la firma finlandesa de ciberseguridad F-Secure.
«No es exactamente fácil de hacer, pero no es un problema lo suficientemente difícil de encontrar y explotar para que ignoremos la probabilidad de que algunos atacantes ya se hayan dado cuenta de esto», dijo Olle Segerdahl, uno de los investigadores de F-Secure que desarrolló el ataque. dijo en un comunicado publicado esta mañana (13 de septiembre).
El ataque funciona contra casi todas las Mac y PC con Windows y requiere varios minutos de acceso físico a una máquina en modo de suspensión, que mantiene suficiente energía para mantener «vivos» los datos de la sesión activa más reciente en la memoria del sistema.
Para evitar esto, apague completamente la computadora o póngala en modo de «hibernación» cuando se aleje de la computadora por más de unos minutos. Cualquiera de los métodos cortará la alimentación y borrará la memoria.
Microsoft también recomienda que los usuarios empresariales de su software de cifrado de disco BitLocker configurar un PIN previo al arranque que el usuario debe ingresar para iniciar una computadora. Las Mac con chips T2, en iMac Pros y MacBook Pros 2018, son inmunes a este ataque, y Apple recomienda que los usuarios de otras Mac establezcan un PIN de BIOS para evitar cambios no autorizados en el firmware de la placa base.
MÁS: Cómo cifrar archivos en Windows
Los usuarios de computadoras comunes no necesitan preocuparse por este ataque. Pero podría ser un problema para los ejecutivos corporativos y los funcionarios gubernamentales, cuyas computadoras encriptadas a menudo contienen información muy valiosa.
Una «sirvienta malvada» podría usar este ataque para extraer secretos de las computadoras portátiles dejadas en las habitaciones de hotel, y un técnico de TI «malvado» podría hacer lo mismo con una máquina de oficina durante la noche o incluso durante la hora del almuerzo de un individuo objetivo.
«No es exactamente el tipo de cosa que usarán los atacantes que buscan objetivos fáciles», dijo Segerdahl. «Pero es el tipo de cosas que los atacantes que buscan phishing más grandes, como un banco o una gran empresa, sabrán cómo usar».
Sr. congelar
Un video publicado en YouTube por F-Secure muestra a un usuario escribiendo sus contraseñas de cifrado en un documento de Word. Luego cierra la tapa de una computadora portátil, la pone en modo de suspensión y se aleja.
Un atacante agarra la computadora portátil, la lleva a otro escritorio, quita la batería, abre la tapa y rocía los módulos RAM con aire comprimido, congelándolos. El ataque adjunta una herramienta especialmente creada para atacar el módulo UEFI de la placa base, que altera el código de arranque para detener la sobrescritura de la memoria.
Luego, el atacante conecta una memoria USB que contiene un sistema operativo Linux y arranca la máquina desde allí. Utilizando la línea de comandos de Linux, recupera fácilmente las claves de cifrado del usuario legítimo. A partir de ahí, es tan fácil como usar esas teclas para acceder a todos los archivos.
La técnica se demostró hoy (13 de septiembre) en la conferencia de seguridad SEC-T en Estocolmo. Suecia, y se presentará nuevamente el 27 de septiembre en la conferencia de seguridad BlueHat en el campus principal de Microsoft en Redmond, Washington.
Cómo funciona este ataque
Las técnicas clásicas de «arranque en frío» cortan abruptamente la energía de su computadora para que los piratas informáticos puedan intentar acceder a lo que hay en la memoria de su computadora.
Pueden reiniciar la máquina inmediatamente desde un disco externo, o pueden desarmarla y literalmente congelar sus módulos de memoria con nitrógeno líquido o rociadores de aire comprimido para evitar que cambien las señales eléctricas volátiles en los módulos RAM.
En los módulos de memoria, los atacantes pueden encontrar información potencialmente confidencial (claves de cifrado, contraseñas, etc.) que lo dejarán a usted y posiblemente a su organización expuestos a ataques a mayor escala.
Los ataques de arranque en frío se desarrollaron por primera vez hace una década, y los fabricantes de computadoras ahora incluyen un proceso de sobrescritura de memoria que, en teoría, frustra cualquier intento de acceso a la memoria.
Pero los investigadores de F-Secure encontraron una manera de eludir esa sobrescritura de memoria al atacar adicionalmente el firmware BIOS/UEFI que arranca la máquina y sobrescribe la memoria.
“Requiere algunos pasos adicionales en comparación con el clásico ataque de arranque en frío”, Segerdahl le dijo a Zack Whittaker de TechCrunch, “pero es efectivo contra todas las computadoras portátiles modernas que hemos probado… Estamos convencidos de que cualquiera que tenga la tarea de robar datos de las computadoras portátiles ya habría llegado a las mismas conclusiones que nosotros”.
Casi todas las máquinas están expuestas
Incluso si el disco de su computadora está encriptado con Microsoft BitLocker o FileVault de Apple, un atacante podría realizar este nuevo tipo de ataque de arranque en frío y buscar en su RAM las claves de encriptación del disco.
F-Secure dice que Microsoft, Apple e Intel conocen este problema, pero los dos primeros no pueden hacer mucho al respecto, ya que la vulnerabilidad que encontraron los investigadores radica en el firmware de la placa base, que a menudo es creado por fabricantes de hardware o por terceros. proveedores de firmware para fiestas.
Apple le dijo a TechCrunch que está trabajando en «medidas para proteger las Mac que no vienen con [a] chip T2”, que tienen un nuevo nivel de seguridad que previene por completo este tipo de ataques.
- Cómo cifrar archivos en Mac OS X
- El mejor software y aplicaciones antivirus
- Puede usar el cifrado fácilmente: así es como
