Investigadores de seguridad han revelado un nuevo ataque para robar contraseñas, claves de encriptación y otra información sensible almacenada en la mayoría de las computadoras modernas, incluso aquellas con cifrado de disco duro completo.
El ataque es una nueva variación de un ataque de arranque en frío (cold boot attack) tradicional, que está disponible desde 2008 y permite a los atacantes robar información que permanece brevemente en la memoria (RAM) después de que se apaga la computadora.
Sin embargo, para que los ataques de arranque en frío sean menos efectivos, la mayoría de las computadoras modernas vienen con protección, creada por Trusted Computing Group (TCG), que sobrescribe el contenido de la RAM cuando se enciende el dispositivo, evitando que los claves de encriptación puedan ser leídos.
Pero los investigadores de la firma de seguridad cibernética finlandesa F-Secure descubrieron una nueva forma de desactivar esta medida de seguridad de sobreescritura manipulando físicamente el firmware de la computadora, permitiendo potencialmente que los atacantes recuperen datos confidenciales almacenados en una computadora robada después de un reinicio en frío en cuestión de pocos minutos.
La firma de seguridad F-Secure reportó esto es su blog:
Los ataques de arranque en frío son un método conocido para obtener claves de cifrado de dispositivos. Pero la realidad es que los atacantes pueden tener acceso a todo tipo de información usando estos ataques. Las contraseñas, las credenciales de las redes corporativas y cualquier información almacenada en la máquina están en riesgo.
Usando una herramienta simple, los investigadores pudieron reescribir el chip de memoria no volátil que contiene la configuración de sobrescritura de memoria, desactivarla y habilitar el arranque desde dispositivos externos. También puedes ver una demostración de este tipo de ataque en el video a continuación:
Al igual que el ataque de arranque en frío tradicional, el nuevo ataque también requiere acceso físico al dispositivo de destino, así como las herramientas adecuadas para recuperar los datos restantes en la memoria de la computadora.
Olle Segerdahl, uno de los investigadores de seguridad de F-Secure que expusieron la vulnerabilidad en un congreso de seguridad el día de hoy (13 de setiembre), ha dicho:
No es exactamente fácil de hacer, pero no es un tema lo suficientemente difícil de encontrar y explotar como para que ignoremos la probabilidad de que algunos atacantes ya lo hayan encontrado.
No es exactamente el tipo de cosa que usarán los atacantes que buscan blancos fáciles. Pero es el tipo de acción que los atacantes que buscan objetivos más grandes, como un banco o una gran empresa, sabrán cómo usarla.
Aquí una infografía que muestra cómo se funciona este ataque:
¿Cómo los usuarios de Microsoft Windows y Apple pueden evitar los ataques de arranque en frío?
Según Olle y su colega Pasi Saarinen, se cree que su nueva técnica de ataque es efectiva contra casi todas las computadoras modernas e incluso las Apple Mac y no se puede reparar fácil y rápidamente.
Los dos investigadores, que presentarán hoy sus hallazgos en una conferencia de seguridad, afirman que ya compartieron sus hallazgos con Microsoft, Intel y Apple, y los ayudaron a explorar posibles estrategias de mitigación.
Microsoft actualizó su guía sobre las contramedidas de Bitlocker en respuesta a los hallazgos de F-Secure, mientras que Apple dijo que sus dispositivos Mac equipados con un chip T2 de Apple contienen medidas de seguridad diseñadas para proteger a sus usuarios contra este ataque.
Pero para las computadoras Mac sin el último chip T2, Apple recomendó a los usuarios que establezcan una contraseña de firmware para ayudar a fortalecer la seguridad de sus computadoras.
Intel aún tiene que comentar sobre el asunto.
El dúo de investigadores dice que no existe una manera confiable de “prevenir o bloquear el ataque de arranque en frío una vez que un atacante con los conocimientos adecuados pone sus manos en una computadora portátil“, pero sugiere que las empresas configuren sus dispositivos de una forma tal que los atacantes que usan ataques de arranque en frío no encuentren nada de valor que puedan robar.
Mientras tanto, los investigadores de seguridad recomienda a los departamentos de TI que configuren todas las computadoras de la compañía para que se apaguen o hibernen (que no ingresen al modo de suspensión) y que requieran que los usuarios ingresen su PIN de BitLocker cada vez que encienden o restauren sus computadoras.
Los atacantes aún podrían realizar un ataque exitoso de arranque en frío contra computadoras configuradas de esta manera, pero como las claves de cifrado no se almacenan en la memoria cuando una máquina hiberna o se apaga, no habrá información valiosa que un atacante pueda robar.