Menú Cerrar

Cifrar nuestros datos no siempre es tan seguro, “Cold Boot” el método que permite sustraer información de discos encriptados.

El cifrado de disco no siempre protegerá sus datos si alguien roba o incluso simplemente “toma prestada” su computadora, gracias a una nueva técnica de ataque de hardware “arranque en frío”descubierta por investigadores de la firma finlandesa de ciberseguridad F-Secure.

“No es exactamente fácil de hacer, pero no es un tema lo suficientemente difícil de encontrar y explotar para que ignoremos la probabilidad de que algunos atacantes ya lo hayan descifrado”,

Olle Segerdahl, uno de los investigadores de F-Secure que desarrolló el ataque, dijo en un comunicado publicado esta mañana (13 de septiembre).

El ataque funciona contra casi todos los equipos Mac y Windows y requiere varios minutos de acceso físico a una máquina que se encuentra en modo de suspensión, que mantiene suficiente energía para mantener “viva” la información de la sesión activa más reciente en la memoria del sistema.

Para evitar esto, apague completamente la computadora o colóquela en el modo “Hibernar” cuando se aleja de la computadora por más de unos pocos minutos. Cualquiera de los dos métodos cortará la energía y borrará la memoria.

Microsoft también recomienda que los usuarios empresariales de su software de cifrado de disco BitLocker configuren un PIN previo al inicio que el usuario debe ingresar para iniciar una computadora. Las Mac con chips T2 -en iMac Pros y 2018 MacBook Pro- son inmunes a este ataque, y Apple recomienda que los usuarios de otras Mac configuren un PIN BIOS para evitar cambios no autorizados en el firmware de la placa base.

MÁS: Cómo cifrar archivos en Windows

Los usuarios ordinarios de computadoras no necesitan preocuparse por este ataque. Pero podría ser un problema para ejecutivos corporativos y funcionarios del gobierno, cuyas computadoras encriptadas a menudo contienen información muy valiosa.

Una “doncella malvada” podría usar este ataque para extraer secretos de las computadoras portátiles que se dejan en las habitaciones del hotel, y un técnico de TI “malvado” podría hacer lo mismo en una máquina de oficina durante la noche o incluso durante la hora de almuerzo de un individuo específico.

“No es exactamente el tipo de cosa que los atacantes que buscan blancos fáciles usarán”, dijo Segerdahl. “Pero es el tipo de cosas que los atacantes que buscan phishing más grandes, como un banco o una gran empresa, sabrán cómo usar”.

 

Sr. Freeze

Un video publicado en YouTube por F-Secure muestra a un usuario escribiendo sus contraseñas de encriptación en un documento de Word. Luego cierra la tapa de una computadora portátil, poniéndola en modo de suspensión y se aleja.

Un atacante agarra la computadora portátil, la lleva a otra mesa, saca la batería, abre la tapa y rocía los módulos de memoria RAM con aire comprimido, congelándolos. El ataque adjunta una herramienta especialmente creada para atacar el módulo UEFI de la placa base, que altera el código de arranque para detener la sobreescritura de la memoria.

Luego, el atacante conecta una memoria USB que contiene un sistema operativo Linux y arranca la máquina desde allí. Usando la línea de comandos de Linux, recupera fácilmente las claves de cifrado del usuario legítimo. A partir de ahí, es tan fácil como usar esas teclas para acceder a todos los archivos.

La técnica se demostró hoy (13 de septiembre) en la conferencia de seguridad SEC-T en Estocolmo. Suecia, y se presentará nuevamente el 27 de septiembre en la conferencia de seguridad BlueHat en el campus principal de Microsoft en Redmond, Washington.

Cómo funciona este ataque

Las técnicas clásicas de “arranque en frío” cortan abruptamente el poder de tu computadora para que los hackers puedan intentar acceder a lo que está en la memoria de tu computadora.

Pueden reiniciar la máquina inmediatamente desde un disco externo, o pueden desmontarla y literalmente congelar sus módulos de memoria con pulverizadores de polvo de nitrógeno líquido o aire comprimido para evitar que cambien las señales eléctricas volátiles en los módulos RAM.

En los módulos de memoria, los atacantes podrían encontrar información potencialmente confidencial (claves de cifrado, contraseñas, etc.) que lo dejará a usted, y posiblemente a su organización, totalmente abierto a los ataques a mayor escala.

Los ataques de arranque en frío se desarrollaron por primera vez hace una década, y los fabricantes de computadoras ahora incluyen un proceso de sobrescritura de memoria que, en teoría, frustra cualquier intento de acceso a la memoria.

Pero los investigadores de F-Secure encontraron una manera de eludir esa sobrescritura de memoria atacando adicionalmente el firmware de BIOS / UEFI que inicia la máquina y sobrescribe la memoria.

“Se necesitan algunos pasos adicionales en comparación con el clásico ataque de arranque en frío”, dijo Segerdahl a Zack Whittaker de TechCrunch, “pero es efectivo contra todas las computadoras portátiles modernas que hemos probado … Estamos convencidos de que cualquiera que tenga la tarea de robar datos de las computadoras portátiles tendría ya llegamos a las mismas conclusiones que nosotros “.

Casi todas las máquinas están expuestas

Incluso si el disco de su computadora está encriptado con Microsoft BitLocker o FileVault de Apple, un atacante podría realizar este nuevo tipo de ataque de arranque en frío y buscar en su RAM las claves de cifrado del disco.

F-Secure dice que Microsoft, Apple e Intel conocen este problema, pero los dos primeros no pueden hacer mucho al respecto, ya que la vulnerabilidad que encontraron los investigadores radica en el firmware de la placa base, que a menudo es fabricado por fabricantes de hardware o por terceros. proveedores de firmware para fiestas.

Apple le dijo a TechCrunch que está trabajando en “medidas para proteger los Mac que no vienen con [un] chip T2”, que tienen un nuevo nivel de seguridad que previene completamente este tipo de ataque.

 

 

Fuente: https://www.tomsguide.com/us/cold-boot-uefi-attack,news-28073.html

Atención: En Solución Digital L.A. tus opiniones son importantes para nosotros. Por favor, déjanos tus comentarios y preguntas justo debajo de este artículo, si consideras que este post es útil y puede ayudar a otros, por favor compártelo por email o a través de las redes sociales como Facebook o Twitter. ¡Muchas Gracias!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *