Una falla de Thunderbolt otorga a los piratas informáticos acceso a sus datos
Recientemente, un investigador publicó una prueba de concepto que lo mostraba accediendo al contenido de una computadora portátil bloqueada en solo unos minutos. El quid de la falla proviene de Thunderbolt. Pero aunque obtuvo acceso a la computadora portátil, necesitaba acceso físico, un destornillador y piezas listas para usar.
Actualizado el 11 de mayo: Intel dice que este ataque no funcionará en computadoras con la protección Kernal DMA habilitada. Un portavoz de Intel nos dice: “Este ataque no se pudo demostrar con éxito en sistemas con la protección Kernel DMA habilitada. Como siempre, alentamos a todos a seguir buenas prácticas de seguridad, incluida la prevención del acceso físico no autorizado a las computadoras". La compañía también publicó una respuesta a la investigación en una publicación de blog.
Apodado Thunderspy, el ataque aprovecha el hecho de que Thunderbolt es un puerto de acceso directo a la memoria. Al igual que PCI-Express y Firewire, los puertos Thunderbolt acceden a la memoria del sistema directamente fuera de la CPU, lo que permite altas tasas de transferencia. Pero eso también es lo que los hace vulnerables a los ataques directos a la memoria.
Como se ve en el video de demostración del investigador de seguridad Björn Ruytenberg, al aprovechar el acceso de Thunderbolt a la memoria del sistema, un pirata informático puede acceder a sus datos incluso cuando la computadora portátil está bloqueada y el disco duro está encriptado.
Sin embargo, el ataque no es simple, el pirata informático debe estar bien preparado y necesita acceso a su computadora portátil. El truco implica quitar la placa posterior (la parte inferior) de una computadora portátil y conectar un dispositivo a la placa base para reprogramar el firmware.
Aunque Ruytenberg sostiene que es un proceso que puede realizar en minutos, eso supone familiaridad con la computadora portátil y lo que se necesita para quitar la placa posterior (si eso es posible). Es poco probable que su computadora portátil desatendida sea víctima de este ataque en un Starbucks, pero su computadora portátil robada es una historia diferente.
Según Ruytenberg, la falla no es un problema de software y no se puede reparar. En cambio, es necesario un rediseño del chip. Otros investigadores parecen no estar de acuerdo, al menos en parte, y sostienen que la nueva protección a nivel de kernel de Windows 10 debería mitigar el problema, al menos parcialmente. Y si está en macOS, también está parcialmente protegido.
Rutenberg continuó diciendo que otro vector para el ataque puede eludir la necesidad de desmontar el dispositivo parcialmente. Pero en ese caso, el hacker necesitaría acceso a un dispositivo Thunderbolt previamente conectado a la computadora portátil.
Vale la pena mencionar que las posibles vulnerabilidades de seguridad de Thunderbolt son una de las razones por las que Microsoft no incluirá el puerto en los dispositivos Surface. Por ahora, si le preocupa que esta falla afecte su dispositivo, puede consultar el sitio web de ThunderSpy creado por Ruytenberg.
Fuente: ThunderSpy a través de Wired