ESET, la mayor empresa de ciberseguridad de la Unión Europea, ha publicado una guía que detalla los riesgos asociados a Thunderspy, una serie de vulnerabilidades encontradas en la tecnología Thunderbolt, así como las herramientas de protección existentes. Mediante Thunderspy, un atacante puede cambiar, e incluso eliminar, las medidas de seguridad provistas en la interfaz Thunderbolt de un ordenador. Como resultado de ello, un delincuente que tenga acceso físico al ordenador objetivo puede robar información incluso aunque el disco esté cifrado y la máquina se encuentre bloqueada con contraseña o suspendida en modo de ahorro de batería.
Thunderspy fue descubierto por el investigador Björn Ruytenberg en mayo de este año. “La investigación de Ruytenberg ha recibido mucha difusión por la novedad del vector de ataque utilizado, pero no se ha ahondado lo suficiente en cómo protegerse de esta vulnerabilidad y ni siquiera se ha hablado de cómo saber si una máquina ha sido atacada”, apunta Aryeh Goretsky, investigador destacado de ESET.
El investigador de ESET explica que los ataques basados en Thunderbolt son escasos porque están dirigidos a unos objetivos muy concretos debido a su propia naturaleza. “El hecho de que un usuario típico no sea el objetivo de este tipo de ataques no significa que no deba estar al tanto de lo que sucede, porque nadie está seguro. De hecho, para muchos, seguir algunas de las recomendaciones que realizamos, por extrañas que parezcan, tiene todo el sentido”, comenta Goretsky.
Existen dos tipos de ataques contra la seguridad sobre la que se asienta Thunderbolt para mantener la integridad de un equipo. El primero de ellos es la clonación de identidades de los dispositivos Thunderbolt que son de confianza y que ya están aceptadas por el ordenador. El segundo consiste en la desactivación permanente de la seguridad de Thunderbolt de manera que no pueda volver a ponerse en marcha. “El ataque de clonado es similar a cuando un ladrón roba una llave y hace una copia. Después puede utilizar la llave copiada para abrir la cerradura siempre que quiera. El segundo ataque es una forma de bloquear un chip. En este caso, la desactivación de los niveles de seguridad no puede ser deshecha”, explica Goretsky.
Ninguno de los dos ataques se lleva a cabo de forma sencilla, puesto que se necesita un acceso físico al equipo objetivo, así como a las herramientas para desmontar el ordenador, un programador lógico, leer el firmware del chip flash SPI de la ROM, desensamblar y modificar sus instrucciones y escribirlas de nuevo en el chip. Este tipo de ataques implica un escenario en el que el atacante entra en la habitación donde se encuentra el ordenador objetivo sin que la víctima esté presente para poder llevar a cabo su acción.
La necesidad de alterar físicamente el ordenador limita el rango de las víctimas potenciales a aquellas que tengan un valor elevado para las agencias de inteligencia nacionales, como ejecutivos de importantes empresas, personal administrativo o empleados que se encuentren en primera línea, casi siempre con objetivos relacionados con el ciberespionaje industrial. En regímenes no democráticos, algunos de los objetivos también podrían ser políticos, miembros de ONGs o periodistas.
Para defenderse de Thunderspy, de la misma manera que frente a otros ataques en los que se precisa de un acceso físico al sistema, es importante decidir si el fin es evidenciar que ha ocurrido un ataque físico o protegerse contra él. Los métodos de protección se dividen en diferentes categorías: “Lo primero es prevenir cualquier acceso no autorizado al ordenador. Después, proteger todas las interfaces y puertos importantes del ordenador, como los USB-C. Además de esto, más allá de las medidas físicas, también es importante mantener el firmware y el software protegidos”, resume Goretsky. “Eliminar la hibernación y cualquier modo híbrido de apagado es importante también para prevenir cualquier ataque de Thunderspy”.
Además de todas las medidas de seguridad descritas, ESET recomienda utilizar soluciones de protección que puedan analizar el firmware UEFI de la máquina, ya que es una de las zonas en las que se almacena la información de seguridad de Thunderbolt.
Para más información sobre los ataques de Thunderspy, se puede pinchar aquí.