Ataques de truenos: qué son, quién está en mayor riesgo y cómo mantenerse a salvo


Todo lo que necesita saber para evitar que los adversarios exploten las vulnerabilidades recientemente reveladas en la interfaz Thunderbolt

En mayo de 2020, Björn Ruytenberg, investigador de seguridad informática en la Universidad Tecnológica de Eindhoven en los Países Bajos, anunció el descubrimiento de Thunderspy, una serie de vulnerabilidades en el Rayo tecnología y escenarios interrelacionados para cambiar, incluida la desactivación, el nivel de seguridad de la interfaz Thunderbolt en una computadora y permitir que un adversario con acceso físico a ella copie datos, incluso si se usa cifrado de disco completo (FDE) y la máquina está bloqueado con una contraseña o durmiendo en modo de bajo consumo.

Si bien la investigación de Ruytenberg ha recibido (bastante merecidamente) publicidad debido a su nuevo vector de ataque, no se ha dicho mucho sobre cómo protegerse contra Thunderspy, o incluso determinar si usted ha sido una víctima. En este artículo, exploraremos métodos prácticos para defenderse de él, así como los pasos contra la manipulación que pueden ayudar a determinar si una computadora ha sido físicamente comprometida.

Nota: Los ataques como los descritos por Ruytenberg son altamente selectivos y muy raros en comparación con los tipos de ataques reportados por la telemetría de ESET a diario, y pueden sonar como algo sacado de una novela de espías. Aunque esto puede representar una amenaza realista para, digamos, el 0.001% de los usuarios de computadoras con más de 100 millones de personas que confían en nuestro software a diario, todavía son más de 1,000 víctimas potenciales. Para esas personas, seguir algunas de las recomendaciones ciertamente draconianas de este artículo puede ayudar a reducir ese riesgo. Independientemente de su nivel de riesgo, esperamos que encuentre útil esta información.

Antecedentes

Figura 1. Dos puertos Thunderbolt 3 en una MacBook Pro

Thunderbolt es una interfaz para permitir conexiones de alta velocidad entre computadoras y periféricos, tales como arreglos RAID externos, cámaras, pantallas de alta resolución, conexiones de red de varios gigabits y muelles de expansión y jaulas para tarjetas de video externas. Originalmente desarrollado por Intel y Apple, apareció por primera vez en la versión 2011 de las computadoras portátiles MacBook Pro de Apple. Le siguieron Thunderbolt 2 en 2013 y Thunderbolt 3 en 2016.

Tabla 1. Lista de lanzamientos de Thunderbolt

Generacion Publicado Controlador Intel Tipo de conector Velocidad
Rayo 2011 Pico de luz Mini DisplayPort 20 Gbit / s (dos carriles unidos de 10 Gbit / s)
Rayo 2 2013 Falcon Ridge Mini DisplayPort 20 Gbit / s
Rayo 3 2016 Alpine Ridge USB tipo C 40 Gbit / s
Rayo 3 2018 Titan Ridge (actualización de Alpine Ridge) USB tipo C 40 Gbit / s

La tecnología que permite este tipo de conexiones de alta velocidad entre computadoras y periféricos es Memoria de acceso directo (DMA) En pocas palabras, DMA permite que los periféricos lean y escriban directamente en cualquier ubicación de la memoria de una computadora, evitando los gastos generales y los retrasos de la administración de la CPU mientras la CPU procesa otras interrupciones y solicitudes de E / S, acelerando en gran medida la transferencia de datos. En este caso, DMA es una especie de espada de doble filo: si el canal de interfaz que usa DMA no está asegurado, existe la posibilidad de leer o escribir en la memoria de manera que afecte la confidencialidad, integridad o disponibilidad de la información almacenada en eso.

Comprenda que esto no significa que la tecnología Thunderbolt, o el uso de DMA para transferencias, sea intrínsecamente insegura, sino que los riesgos involucrados deben ser examinados y modelados cuidadosamente para defenderse de posibles ataques. El uso de DMA en PC se remonta al diseño de la PC IBM original lanzada en 1981 y puede haber estado presente también en diseños de computadoras anteriores. Las PC han tenido varias interfaces DMA a lo largo de los años, desde tarjetas de expansión como ISA, EISA, PCI, PCIe y VLB, controladores de disquetes y unidades de disco duro, CardBus y ExpressCard en computadoras portátiles, etc. DMA es una técnica robusta y que se puede implementar con controles de seguridad y equilibrios.

Si algo de esto le resulta vagamente familiar, puede recordar un artículo de WeLiveSecurity de 2011, Donde hay humo, hay FireWire, discutiendo el abuso de DMA usando interfaces FireWire (IEEE-1394) tanto en PC como en Mac. Y, cabe señalar, también hay otros tipos de ataques contra el hardware, como los de 2015 Golpe de trueno, que se centró en la ROM EFI en Mac y en 2018 Derretimiento y espectro vulnerabilidades de ejecución especulativa en CPU.

Para una introducción a los ataques Thunderspy, lea el Los defectos de Thunderbolt abren millones de PC al pirateo físico en WeLiveSecurity. Si no ha leído ese artículo, le recomiendo que lo lea antes de continuar. Con esa condición en mente, veamos el modelo de amenaza para Thunderspy, cuáles son los objetivos realistas para un atacante, y quizás lo más importante, las defensas realistas contra esos.

Agresor

Ruytenberg proporciona dos pruebas de concepto (código de muestra) para Thunderspy que realizan dos tareas diferentes:

  • Clone las identidades de los dispositivos Thunderbolt permitidos por la computadora.
  • Desactiva permanentemente la seguridad de Thunderbolt.

El primer ataque de clonación es como los ladrones que roban una llave a una cerradura y luego la copian. Luego, pueden usar la clave copiada repetidamente para abrir esa cerradura. El segundo ataque es una forma de "tapar" un chip. En este caso, deshabilite los niveles de seguridad de Thunderbolt y luego proteja contra escritura los cambios realizados para que no se puedan deshacer.

La clonación requiere conectar hardware Thunderbolt personalizado en la computadora de destino y / o desmontar la computadora de destino para conectar un SPI programador al chip ROM flash SPI del chip Thunderbolt conectado a un SOIC adaptador de clip. La eliminación del chip requiere también el uso del programador SPI y el adaptador de clip de cable.

Los escenarios de ataque adicionales requieren la ejecución de software y / o la obtención de información sobre las versiones de firmware en la computadora de destino.

En caso de que no esté claro en la descripción anterior, estos tipos de ataques no se realizan simplemente, ya que se requiere acceso real en persona a la computadora, junto con las herramientas para desmontar la computadora física, conectar el programador lógico, leer el firmware desde el chip ROM ROM de SPI, desmonte y modifique sus instrucciones, y escríbalas nuevamente en el chip. Todo sin que el propietario de la computadora se dé cuenta de esto (y, por supuesto, no daña accidentalmente la computadora en el proceso).

Debido al tiempo y la complejidad de este tipo de actividad, se conoce como un "malvado sirvienta", Un tipo de ataque descrito por primera vez por la investigadora de seguridad informática Joanna Rutkowska. Según lo previsto, implica que el atacante ingresa a una habitación de hotel mientras la víctima no está presente y usa un implante USB para explotar la computadora. Si bien estos ataques pueden parecerse más a la ciencia ficción que a los hechos científicos, las escuchas telefónicas físicas que requieren una visita in situ fueron una técnica de investigación común antes de que las redes telefónicas cambiaran de redes de conmutación de circuitos a redes de conmutación de paquetes que podrían aprovecharse la columna vertebral, entonces hay un precedente histórico retrocediendo décadas.

Victimologia

Entonces, con una comprensión de los antecedentes y cómo se realizan los ataques: ¿quién podría ser exactamente la víctima de los ataques basados ​​en Thunderspy? Algunos de estos serían objetivos de alto valor, que son perseguidos por las agencias de inteligencia o de aplicación de la ley del estado-nación, ya sea a través de sus propias herramientas o las adquiridas a contratistas de defensa u otros miembros de la "interceptación legal"Ecosistema, pero ese no siempre es el caso. El motivo podría ser comercial, como el espionaje industrial.

Figura 2. Base para computadora portátil con un puerto Thunderbolt 3

En el pasado, los objetivos de alto valor han incluido grupos tan dispares como aeroespacial, energía, periodismo, military político sectores, todos victimizados por adversarios altamente determinados. Sin embargo, los ataques pueden apuntar a cualquier sector del mercado y ocupación, y no solo a los ejecutivos de la compañía: los ingenieros, el personal administrativo e incluso los empleados de primera línea pueden ser objetivos de oportunidad. Si bien estos pueden parecer grupos muy poco relacionados de industrias y personas, todos han sido atacados por adversarios altamente determinados, y a menudo son los primeros en estar expuestos a amenazas persistentes avanzadas, ataques de día cero, etc. Los investigadores de ESET han descrito varios de estos ataques aquí en WeLiveSecurity.

Pero no todos los objetivos pueden ser ejecutivos trotamundos que dejan sus computadoras portátiles en sus habitaciones de hotel cuando salen a cenar. Una computadora no segura en cualquier lugar de la red de una empresa puede ser un punto de entrada para un atacante. Considere los siguientes escenarios:

  1. Un ejecutivo que viaja por todo el mundo con una computadora portátil pero la deja sola en una habitación de hotel cuando sale por la noche.
  2. Una computadora de escritorio que se encuentra en la recepción del área de recepción de una oficina, con todos sus puertos expuestos a lo largo de su parte posterior.
  3. Oficinas de servicio donde las personas traen medios de almacenamiento externos para adjuntar para impresión 2-D o 3-D.
  4. Sistemas de punto de venta (PoS) utilizados como cajas registradoras. Por lo general, se basan en arquitecturas de PC y utilizan los mismos tipos de puertos y conectores. Si bien es posible que no ejecuten versiones convencionales de Windows o Linux, pueden ejecutar versiones industriales o integradas.
  5. Máquinas de votación electrónicas que se pueden abrir fácilmente o acceder a sus puertos cuando se usan en los centros de votación sin el conocimiento de los funcionarios de votación.

En algunos casos, es posible encontrar un pretexto para que un recepcionista o un cajero dejen una computadora desatendida durante el tiempo suficiente para enchufar un dispositivo, aunque puede ser necesario realizar un trabajo adicional en varias etapas, lo que requiere el personal del adversario. hacer más de una visita para identificar computadoras, rutas y mejores momentos para realizar el ataque y obtener cualquier información adicional del sitio objetivo necesaria para una ejecución exitosa. En otros casos, como el de las máquinas de votación electrónica, uno normalmente esperaría quedarse sin interrupciones y sin supervisión mientras usa el dispositivo para votar.

Un caso especial son los periodistas, así como los empleados de ONG y empresas, que pueden viajar a zonas con regímenes autoritarios o países conocidos por el espionaje comercial. Es posible que estas personas no puedan negar una solicitud del gobierno para entregar sus equipos para un control de seguridad. En caso de que tenga empleados en esta situación (o se encuentre en esa situación usted mismo), solo debe viajar con un equipo que sea "quemable": debe contener solo la cantidad mínima de información necesaria para ese viaje específico. Tan pronto como regrese, cualquier dispositivo debe considerarse completamente comprometido y no volver a usarse. Además, cualquier cuenta utilizada desde los dispositivos debe cambiar sus contraseñas inmediatamente después de su devolución, y la autenticación de dos factores se restablece y vuelve a autorizar.

Defendiendo

Para defenderse de los ataques de hardware que requieren acceso físico al sistema, primero debe determinar el modelo de amenaza que se aplica. En cada uno de los ejemplos dados anteriormente, el nivel de exposición y oportunidad para un atacante variará enormemente. También es importante decidir si el objetivo del defensor es protegerse contra un ataque o hacer evidente que ocurrió un ataque físico.

Con esto en mente, veamos cómo uno podría defenderse contra cada uno de los escenarios anteriores:

  1. Ahora se requiere que los ejecutivos lleven sus computadoras portátiles a donde quiera que vayan, o que sus colegas de confianza los conserven, para garantizar la custodia en todo momento.
  2. Compre escritorios para el área de recepción donde los puertos vulnerables de la computadora no son accesibles al público.
  3. Las interfaces basadas en DMA como Thunderbolt, Firewire, ExpressCard, etc., ya no se pueden usar en una oficina de servicios. Además, la oficina de servicios debe segmentar su red con una DMZ para todas las computadoras utilizadas con los medios de almacenamiento de los clientes.
  4. Mantenga las máquinas PoS en recintos o cajas de seguridad a prueba de manipulaciones donde los puertos vulnerables de la computadora no sean accesibles al público.
  5. Proteja las máquinas electrónicas de votación con casos que eviten que los puertos vulnerables de la computadora estén expuestos al público. Esto también podría incluir casos que son difíciles de abrir dentro de los límites de una cabina de votación cerrada.

Figura 3. Cable Thunderbolt 3 conectado a una computadora portátil

Además, la seguridad física de una computadora estacionaria se puede aumentar mediante sistemas de seguridad física en la oficina que utilizan cámaras, sensores de movimiento, alarmas y otras características. Es posible que no sea posible tomar este tipo de pasos en todos los escenarios, especialmente en áreas de alto tráfico, o si las computadoras necesitan ser movidas periódicamente, y así sucesivamente. Todavía es posible encontrar métodos para aumentar la cantidad de tiempo que le toma a un adversario obtener acceso físico a las partes internas de una computadora, o hacer que la manipulación sea más evidente:

  • Considere asegurar la computadora con tornillos de alta seguridad. Con estos, no nos referimos a los tornillos de seguridad de ojo de serpiente, TORX® Security, tri-wing u otros tipos de tornillos de seguridad comúnmente disponibles para los que se pueden comprar fácilmente juegos de brocas de seguridad, sino tornillos y brocas personalizados como esta o esta, que puede ser exclusivo de su empresa.
  • Si bien los puertos USB tipo C utilizados por Thunderbolt 3 siguen siendo relativamente nuevos, los bloqueadores de puertos como esta o esta están disponibles, y si no pueden evitar por completo que un adversario acceda a los puertos Thunderbolt 3 de una computadora (o bloqueadores Mini DisplayPort para los puertos Thunderbolt y Thunderbolt 2), al menos pueden retrasar la capacidad de un adversario para acceder a ellos. Si falta un bloqueador de puertos y el puerto al que entra está dañado, al menos el defensor ahora sabe que la computadora ha sido violada. Eso supone que las inspecciones periódicas de la computadora se realizan con la frecuencia suficiente para detectar signos de manipulación. Por ejemplo, una computadora en el área de recepción puede revisarse al comienzo de cada turno, mientras que una computadora detrás de varias puertas cerradas puede revisarse cada pocos días. La cantidad exacta de tiempo entre inspecciones debe determinarse en función del riesgo para la persona (u organización).
  • Como último recurso, considere bloquear los puertos con epoxi, quitar los conectores desoldandolos, cortar sus trazas de circuito en la placa del sistema de la computadora, etc. Hacerlo puede dañar la computadora, así que considere esta opción con mucho cuidado antes de continuar. Además, seguramente anulará la garantía de la computadora. Pero si usted es una de las personas de alto riesgo a quienes podrían dirigirse tales ataques, le importa mucho más la seguridad de su computadora que la garantía anulada.
  • Si no puede bloquear o eliminar físicamente los puertos Thunderbolt 3, desactívelos en el programa de configuración UEFI (anteriormente conocido como BIOS) de la computadora.

NOTA: Los enlaces que figuran en los puntos anteriores son solo para fines representativos y no son una recomendación de ESET para una marca, empresa o servicio específico.

Métodos como estos también pueden tener un costo prohibitivo dependiendo de la cantidad de computadoras que el defensor tiene que proteger y el presupuesto. Si no puede disuadir a los adversarios o aumentar la cantidad de esfuerzo que les lleva a realizar un ataque físico, al menos puede hacer que un ataque físico sea más fácilmente identificable a través de mecanismos de detección de manipulación:

  • Si su computadora tiene funciones antisabotaje para notificarle cuando se ha abierto la carcasa (chasis), habilite esta función. Tenga en cuenta que un adversario determinado puede borrar la advertencia antes de que la víctima se dé cuenta.
  • Los adhesivos antisabotaje o de seguridad no se recomiendan por sí mismos, ya que un atacante puede tener una forma fácil de quitarlos o tener un chasis y adhesivos de repuesto listos para volver a aplicar. Sin embargo, el uso de calcomanías antisabotaje aumenta el costo del ataque, y puede aumentarse con otros mecanismos antisabotaje como, lo creas o no, el esmalte de uñas.
  • Pinte los tornillos y las áreas a su alrededor con esmalte de uñas perlado o brillante que se seca en un patrón único. Si se quita un tornillo, el esmalte se agrieta e incluso si se vuelve a pintar, no tendrá el mismo patrón que antes. Si el esmalte de uñas se astilla con facilidad, considere cubrirlo con una capa transparente o incluso epoxi para mayor resistencia. Tome fotos después de que el esmalte de uñas se haya secado e imprímalas como una foto que pueda almacenarse en una bóveda o en una caja de seguridad, así como en una billetera o cartera, etc., para comparar en el futuro. No se recomienda que las fotos se mantengan únicamente en formato digital, ya que el atacante también puede tener una forma de manipularlas.

Además de los mecanismos físicos antisabotaje, observe los pasos que puede seguir para hacer que el firmware y el software de la computadora sean más seguros.

Figura 4. Mensaje que anuncia una actualización de firmware para el controlador Thunderbolt de una computadora

Aquí hay algunos pasos generales para comenzar:

  • Si está utilizando un sistema operativo al final de su vida útil como Windows 7, actualice a un sistema operativo más nuevo que continúe recibiendo actualizaciones de seguridad, como Windows 10.
  • Actualice el firmware de su computadora a la última versión disponible en el sitio web de soporte del fabricante. Tenga en cuenta que el firmware no está limitado al BIOS o UEFI de su placa base. Los chips de video, las interfaces de red, los paneles táctiles y los controladores LCD son solo algunos de los periféricos en una computadora moderna que puede tener firmware actualizable. Tenga en cuenta que otros dispositivos, como teléfonos inteligentes, tabletas, enrutadores y módems, también tienen su propio firmware, y también pueden requerir actualizaciones.
  • Si su computadora los tiene, habilite funciones como Chip de seguridad TPM (o chips similares que proporcionan características de certificación de hardware), detección de intrusión en el chasis y configuración de contraseñas diferentes para el encendido, permitiendo el acceso a sus unidades e ingresar a la interfaz de configuración del firmware UEFI.
  • Apague Bluetooth y Wi-Fi cuando no los use, o elimínelos por completo. En la mayoría de las computadoras de escritorio y portátiles, los módulos de radio para estos están en una tarjeta reemplazable que se puede quitar del sistema. Si se han eliminado los módulos de radio, hay adaptadores USB de Wi-Fi y Bluetooth que se pueden conectar para acceso temporal.
  • Deshabilite la hibernación, suspensión, espera, suspensión y otros modos híbridos de "apagado", donde la computadora permanece funcionando en un estado de baja potencia o escribe el contenido de la memoria en un archivo de hibernación antes de apagarse. Las computadoras modernas utilizan por defecto estos modos de "pseudo-apagado" para iniciar más rápidamente, sin embargo, pueden aumentar la vulnerabilidad de la computadora a un atacante. Use la computadora como lo haría normalmente, pero cuando no esté en uso, apáguela completamente para que quede apagada sin nada almacenado en la memoria o en un archivo de hibernación que los atacantes puedan leer si obtienen acceso físico a la computadora .
    Consulte con el proveedor de su computadora o sistema operativo para obtener instrucciones sobre cómo deshabilitar estas funciones, que pueden tener numerosas configuraciones y nombres específicos del proveedor, como Connected Standby, Fast Sleep, InstantGo, Modern Standby, Suspend-to-RAM, etc. Windows debería eliminar automáticamente cualquier archivo de imagen de memoria asociado con la hibernación cuando la función está desactivada; Si utiliza un sistema operativo diferente, como macOS, consulte con su desarrollador para ver si se requieren pasos adicionales para eliminar los archivos de imagen de memoria de hibernación o suspensión. Es posible que sea necesario reiniciar para que este cambio surta efecto.
  • Considere el uso de cifrado de disco completo (FDE) en unidades internas y medios extraíbles. Si bien la investigación de Ruytenberg demostró que FDE podría evitarse mientras la computadora estaba bloqueada o en modo de suspensión, permaneció segura cuando la computadora estaba completamente apagada.
  • Reemplace las computadoras que usan firmware de BIOS heredado por otras que tengan firmware UEFI moderno. Si bien UEFI tiene vulnerabilidades, aún es más seguro que el firmware basado en BIOS.
  • Si reemplaza una computadora, considere comprar una sin interfaces compatibles con DMA, como los puertos Thunderbolt, ExpressCard y FireWire. Si bien estos a menudo se pueden deshabilitar en la configuración del firmware de la computadora, tenga en cuenta que un atacante con acceso prolongado a la computadora puede intentar volver a habilitarlos.
  • Verifique si el hardware y el sistema operativo de su computadora está utilizando Kernel DMA Protection. Introducido en Microsoft Windows 10 versión 1803 y manzana macOS Sierra 10.12.4, Kernel DMA Protection aprovecha la Unidad de administración de memoria de entrada-salida (IOMMU) característica de CPU y chipsets modernos para virtualizar conexiones DMA desde interfaces como Thunderbolt.
  • Utilice software de seguridad de un proveedor de confianza que pueda escanear el firmware UEFI de su computadora, una de las ubicaciones donde se almacena la información de seguridad de Thunderbolt.
  • Si la computadora es una computadora portátil, llévela consigo en todo momento y nunca la deje desatendida. Por ejemplo, cuando viaja, la computadora lo acompaña a donde quiera que vaya. No solo para citas, reuniones con clientes o conferencias, sino con usted para comidas, eventos nocturnos, etc. Si el atacante no puede obtener acceso físico a su computadora, se vuelve exponencialmente más difícil de explotar utilizando técnicas que requieren acceso directo a ella.

Puede que no sea posible detener a los adversarios verdaderamente determinados, especialmente si usted es una organización individual o pequeña y tienen los recursos de una gran corporación o incluso de un estado-nación. Pero lo que puede hacer es dificultar el éxito de sus ataques y posiblemente informarle que se intentó un ataque.

Conclusión

Los ataques como Thunderspy son competencia de adversarios sofisticados y decididos, y la mayoría de las personas nunca estarán expuestas a tal amenaza en sus vidas.

Si usted es uno de los pocos desafortunados que podrían ser atacados, defenderse de tales ataques significa no solo adoptar los enfoques prácticos descritos anteriormente, sino comprender por qué el adversario lo atacó en primer lugar y qué puede determinar al respecto. de ataques anteriores que han realizado.

Intentar comprender la amenaza que representa ese adversario es el primer paso para defenderse de ellos. Para comenzar a responder eso, comience por determinar cuál es su objetivo. Un adversario determinado puede, por ejemplo, apuntar a un periodista independiente y un sistema de votación electoral. La razón subyacente de esos ataques puede ser la misma, y ​​pueden o no implicar el uso de recursos similares o compartidos. Sin embargo, la mecánica de desplegar el ataque puede ser muy diferente.

Las capacidades y recursos del defensor también pueden variar mucho. Para ver los ejemplos anteriores, un individuo tendrá significativamente menos capacidades que una agencia gubernamental si ambos están siendo atacados. Por lo tanto, es probable que sus capacidades para proteger sus dispositivos informáticos no solo varíen, sino que varíen dramáticamente.

Los ataques discutidos en la investigación de Thunderspy de Ruytenberg son para Thunderbolt 3 y anteriores, pero es importante tener en cuenta que puede ser demasiado tarde en el ciclo de diseño de Thunderbolt 4 (y USB 4.0, que se deriva de Thunderbolt 3) para que los fabricantes lo implementen por completo protecciones contra los ataques de Ruytenberg. Los ataques Thunderspy pueden no mitigarse por completo en Thunderbolt 4 hasta que se actualice esa tecnología y en su segunda generación. Esto no significa necesariamente que deba omitir la primera generación inicial de tecnología Thunderbolt 4 porque puede ser inseguro; de hecho, debería ser más seguro que las versiones actuales de Thunderbolt 3. Sin embargo, sí significa que ya debería estar planeando reemplazar esos dispositivos si llega una versión más segura de Thunderbolt 4 (o su sucesor).

Un agradecimiento especial a mis colegas Tony Anscombe, Petr Blažek, Jean-Ian Boutin, Bruce P. Burrell y Kim Schulz, Nick FitzGerald, Matej Lupták, Tomáš Materna, Kirk Parker y Tomáš Štefunko por su ayuda con este artículo.

Aryeh Goretsky, rMVP, ZCSE
Investigador Distinguido, ESET





Enlace a la noticia original