abril 14, 2021

Thunderspy: qué es, por qué no da miedo y qué hacer al respecto

Thunderspy: qué es, por qué no da miedo y qué hacer al respecto

Hay un nuevo ataque que utiliza equipos estandarizados para tomar el control total de una PC, incluso cuando está bloqueado, si un hacker solo tiene unos minutos con él. El operador es familiar: la interfaz ultrarrápida de Thunderbolt conecta tarjetas gráficas, sistemas de almacenamiento y otros periféricos a millones de computadoras.

El truco, que tardó años en desarrollarse, es elegante. Su inteligente combinación de cifrado, ingeniería inversa y desarrollo de exploits crea un gran agujero en las defensas que Intel, el fabricante de rayos, tardó mucho tiempo y recursos en erigir. Al final, sin embargo, la técnica es un avance incremental en un ataque que ha existido durante más de una década. Si bien la debilidad que explota es real y debe cerrarse, la gran mayoría de las personas, piensa el 99 por ciento, no debería preocuparse por eso. Hablaremos de eso más tarde. Por ahora, aquí están los detalles de los huesos desnudos.

Acceso al carril de la memoria

Thunderspy, como su creador Björn Ruytenberg llamó al ataque, en la mayoría de los casos requiere que el atacante retire los tornillos de la carcasa de la computadora. A partir de ahí, el atacante detecta el chip Thunderbolt y conecta un clip, que a su vez está conectado a una serie de componentes básicos, con un precio de alrededor de $ 600, que está conectado a una computadora portátil atacante. Estos dispositivos analizan el firmware actual de Thunderbolt y luego lo reflejan con una versión sustancialmente idéntica, excepto por el hecho de que desactiva las funciones de seguridad desarrolladas por Intel que están activas.

Con la caída de las defensas, el hacker tiene el control total del acceso directo a la memoria, una característica de muchas computadoras modernas que permite que los dispositivos periféricos accedan a la memoria principal de la computadora. Por lo tanto, un atacante de Thunderspy es libre de conectar un dispositivo que ignora la pantalla de bloqueo de Windows.

El siguiente video muestra el ataque con más detalle, ya que se utiliza para acceder a una computadora portátil Lenovo P1 comprada el año pasado:

Thunderspy PoC Demo 1: desbloquee su PC con Windows en 5 minutos.

Si bien eludir el video lleva poco más de cinco minutos, un atacante necesitaría más tiempo para instalar malware persistente e indetectable, copiar el contenido del disco duro o hacer otras cosas nefastas. El ataque no ha funcionado contra Apple Mac durante más de tres años (siempre que ejecuten macOS) y no funciona en máquinas con Windows o Linux que tienen actualizaciones mucho más recientes que implementan protección, conocida como Kernel Direct Memory Access Protection.

Kernel DMA es el método del sistema operativo para implementar la unidad de administración de memoria de entrada-salida, que es un mecanismo desarrollado por Intel que se conecta a un bus compatible con DMA y controla o bloquea el acceso a la memoria, incluida la prevención. transferencias maliciosas de memoria por dispositivos conectados. La protección generalmente se abrevia como IOMMU.

Una variante del ataque implica el acceso a un dispositivo Thunderbolt que ya recibió permiso para acceder a la computadora vulnerable. Un atacante podría clonar el dispositivo y usarlo para obtener acceso a DMA en la máquina de destino. Aquí está en acción:

Thunderspy PoC Demo 2: deshabilita permanentemente toda la seguridad de Thunderbolt en una PC con Windows.

Los profesionales de seguridad han dejado claro durante mucho tiempo que un oponente experimentado que obtiene acceso físico a un dispositivo, incluso por un corto período de tiempo, representa un evento de finalización del juego. La única suposición razonable es que la computadora, el teléfono u otros dispositivos electrónicos están comprometidos. La única respuesta significativa en este escenario es descartar el dispositivo, ya que es posible que el compromiso implique la reescritura indetectable del firmware en uno de los muchos componentes del dispositivo (un grupo de piratería apodado Equation Group y conectado a la Agencia de Seguridad Nacional de EE. UU. ya estaba haciendo esto a principios de la década de 2000).

A pesar de la advertencia sobre el acceso físico, algunos practicantes siguen desconfiando de los llamados ataques de «villano doméstico», en los que un ama de llaves, un colega o un funcionario del gobierno obtienen acceso fugaz a un dispositivo por su cuenta. La amenaza de la malvada criada es precisamente por qué los desarrolladores de hardware y software, incluido Intel, invirtieron innumerables cantidades de dinero en la idea de cifrar el disco duro, iniciar la cadena de confianza y protecciones similares. Las personas que toman en serio a Thunderspy lo hacen porque reabre este tipo de ataque utilizando hardware preinstalado en millones de dispositivos.

El sabotaje no es un hackeo

Incluso entre aquellos que adquieren la amenaza de la maldad doméstica, muchos están descartando a Thunderspy como un truco que se destaca de otros ataques viables en esta categoría. Muchos otros componentes informáticos basados ​​en firmware tienen acceso similar a recursos informáticos altamente sensibles. El chip que ejecuta el BIOS, o el firmware que inicializa el hardware durante el proceso de arranque, es un objetivo principal para los piratas informáticos que tienen acceso físico y la capacidad de quitar los tornillos de la carcasa.

Otra alternativa potencialmente más simple es eliminar el disco duro y el sistema operativo. Si una computadora tiene un Trusted Platform Module o una protección similar que garantiza criptográficamente la integridad del hardware de la computadora antes de cargar el sistema operativo, el atacante puede oler la clave criptográfica del bus de recuento bajo de pines, suponiendo que un usuario no ha habilitado una contraseña de prearranque. Algunos controladores integrados que administran el teclado y la administración de energía son otro objetivo, así como otros controladores (rayos u otros) si tienen acceso DMA (por ejemplo, controladores Ethernet y USB3).

«Hay muchas cosas que puedes hacer en una PC una vez que se abre el caso», dice Héctor Martin, un investigador de seguridad independiente con amplia experiencia en piratería o ingeniería inversa de la Nintendo Wii, varias generaciones de la PlayStation de Sony, y otros dispositivos con fuertes defensas contra ataques físicos. «El modelo de amenaza de la malvada criada es interesante cuando se limita a conectar cosas a las puertas, porque esto se puede hacer muy rápidamente cuando, por ejemplo, el objetivo es solo mirar hacia otro lado».

Alfredo Ortega, un consultor de seguridad especializado en investigación de vulnerabilidades y encriptación, me dijo en gran medida lo mismo.

Él dijo:

No creo que este sea un ataque significativo, ya que requiere acceso físico a la computadora portátil y si tiene acceso físico a la computadora, hay ataques mucho más simples que tendrían el mismo efecto (por ejemplo, insertar un registrador de teclas en el teclado, esconder un micrófono dentro del portátil, instalar una placa base maliciosa, etc.)

En particular, no estoy de acuerdo con la primera declaración en su documento «Esquemas de verificación de firmware inadecuados» porque el firmware se verifica adecuadamente en el momento de la actualización. Si es posible flashear físicamente el chip, probablemente sea posible flashear cualquier otro chip en la notebook y eliminar todas las protecciones o incluso reemplazar por completo la notebook con una maliciosa.

Hay muchos pseudoataques como este que no son muy peligrosos porque requieren acceso físico, por ejemplo, muchos de los llamados ataques de auto pirateo deben instalar dongles en los conectores dentro de los automóviles. Si te subes al auto, también podrías cortar las líneas de freno: un ataque mucho más simple, con el mismo efecto. Este es el mismo concepto.

Esto realmente es una forma de sabotaje, no pirateo.

Si pueden encontrar una manera de actualizar remotamente el firmware malicioso, entonces sí, esto haría que este ataque sea peligroso. Pero no pudieron hacerlo por el momento y requieren el desmontaje del cuaderno.

Si bien los malos ataques de mucama que no requieren desmontaje son difíciles, no son imposibles. En 2015, el investigador de seguridad Trammell Hudson creó un dispositivo que, cuando se conectó al puerto Thunderbolt de una Mac completamente actualizada, reemplazó en secreto su firmware. La empresa, que solo requería un acceso fugaz a la máquina objetivo, no requería ningún desmontaje ni acceso a un dispositivo Thunderbolt ya confiable. Apple resolvió de inmediato la falla.

Ortega dijo que Thunderspy identifica varias debilidades que representan fallas reales en el sistema Thunderbolt, pero no las considera significativas. Señaló que, según el sistema común de evaluación de vulnerabilidad, las debilidades se clasifican como relativamente bajas 7, una indicación, dijo, que otros tampoco creen que las fallas sean graves.

Los críticos también señalaron que ha habido varios ataques en la última década que atacan las debilidades de Thunderbolt para lograr en gran medida el mismo resultado. Los ejemplos incluyen esto y esto. Uno de los más recientes se conoce como Thunder.

La bienvenida a Thunderspy en las redes sociales fue aún más aterradora. Una pequeña muestra incluye prácticamente todos los tweets realizados en las últimas 48 horas por Pedro Vilaça, uno de los ingenieros y hackers más conocidos de macOS.

Si bien el coro de críticas ha sido extremo, muchos profesionales de la seguridad dicen que Thunderspy es un ataque importante que debe tomarse en serio.

Intel asegura asombrado

«Las personas que afirman que el acceso físico a una computadora significa que has perdido: ¿por qué crees que las computadoras portátiles no deberían ser tan resistentes a los ataques físicos como un iPhone?» Matthew Garrett escrito en Twitter. En el mismo hilo, el compañero investigador de seguridad Saleem Rashid agregó: «ignorar a la multitud» acceso físico = juego terminado «, una preocupación práctica es que puede abrir una computadora portátil y realizar cambios drásticos de hardware de una manera imposible con un teléfono inteligente».

Otro investigador que le ha otorgado a Thunderspy su aprobación calificada es el investigador de seguridad Kenn White. Estaba claro que el ataque representaba solo un «avance incremental» en anteriores ataques de rayos malvados, pero dijo que aún era importante. Resumió su evaluación de los resultados de la siguiente manera:

Es interesante para muchos en la comunidad porque ignora las últimas mitigaciones de Intel y es una clara evidencia de que el modelo de seguridad física de Thunderbolt, para millones de dispositivos, está roto.

Las personas que dicen «hay formas mucho más fáciles de comprometer un dispositivo» son correctas, pero ese no es el punto. Ignorando por el momento cualquier exageración indebida del impacto, es una mejora incremental en nuestra comprensión de las interdependencias complejas. Quizás no sea inesperado en principio por los profesionales en este espacio especializado, pero sigue siendo un progreso de investigación incremental.

Si un atacante con recursos suficientes puede alterar el hardware físico de la víctima, particularmente para los sistemas Windows x86 de mercancías, generalmente sí, ese sistema puede verse comprometido. En particular, aunque con Thunderbolt, Intel ofrece garantías específicas de seguridad contra la manipulación en su último firmware / software que se ha omitido aquí.

Mientras tanto, dijo White, tanto Apple como Google han logrado implementar configuraciones que evitan que muchos ataques DMA físicos tipo Thunderspy, incluido USB-C, funcionen contra Mac y Pixelbook respectivamente. «Los ingenieros de dispositivos de Apple y Google parecen haber anticipado este problema y tener configuraciones de IOMMU más fuertes y, por lo tanto, exponen a sus usuarios a un menor riesgo».

Por su parte, Intel lanzó una declaración que destaca lo que Ruytenberg ya había aclarado: que Thunderspy fue derrotado por las protecciones DMA del núcleo, que se lanzaron el año pasado para Windows (Windows 10 1803 RS4 y posterior) y Linux ( kernel 5.xy posterior) y principios de 2017 para macOS (macOS 10.12.4 y posterior, más de dos años antes de las correcciones de Windows y Linux). El reclamo también caracterizó a Thunderspy como un nuevo vector de ataque físico para una vieja vulnerabilidad.

Intel no ha reconocido aún nada: millones de computadoras quedan atrapadas con una seguridad insuficiente. Intel prometió una vez usar la autenticación criptográfica para «evitar que dispositivos no autorizados basados ​​en PCIe Thunderbolt se conecten sin autorización usuario «.

¿Qué debe hacer un usuario?

Los lectores que se preguntan qué tan grande es la amenaza de Thunderspy deben recordar que la barra de este ataque hace que sea muy poco probable que alguna vez se use activamente en contextos del mundo real, excepto, tal vez, por los objetivos más valiosos codiciados por el espía. agencias secretas Cualquiera sea el campo que tenga un mejor caso, nada cambiará esta realidad.

Los paranoicos verdaderos pueden ejecutar herramientas aquí y aquí para verificar si sus computadoras son sensibles. Los usuarios de computadoras que no están protegidos de este ataque esotérico pueden usar su BIOS para deshabilitar Thunderbolt por completo. Los usuarios también deben asegurarse de que el cifrado de disco completo esté habilitado y apagar las computadoras, en lugar de ponerlas en suspensión, cuando dejen una PC desatendida.

El mayor impacto de esta investigación es la grieta que ha expuesto entre los investigadores de seguridad y los usuarios de computadoras que acuden a ellos en busca de orientación para evaluar los riesgos de piratería.

«Literalmente lo hice uno publicar solo citas [Wired’s earlier] historia [on Thunderspy] y un chico me envió 65 respuestas / etiquetas durante seis horas anoche «, dijo White.» Hay mucha hostilidad allá afuera «.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *