Si su portátil tiene un puerto Thunderbolt, podría ser hackeado

Si su portátil tiene un puerto Thunderbolt, podría ser hackeado

  • Un investigador de la Universidad Tecnológica de Eindhoven descubrió un fallo de seguridad en los puertos Thunderbolt de Intel, común a muchos portátiles producidos antes de 2019.
  • Mientras que el ataque implica algunas maniobras físicas, incluyendo la eliminación física de la caja de la computadora portátil con un destornillador, no deja rastros.
  • Para remediar el ataque, conocido como “Thunderspy”, Ruytenberg ha lanzado una herramienta gratuita
    que le permitirá comprobar si su máquina está en riesgo.

    ¿Alguna vez has notado ese símbolo de rayo en el lado de tu laptop, justo encima de uno de los puertos? Esta es su conexión Thunderbolt, que le permite cargar el dispositivo, conectarlo a una pantalla, conectar el almacenamiento externo y transferir datos. Si ve el cerrojo, significa que podría estar en riesgo de una nueva vulnerabilidad de seguridad cibernética.

    “Si su ordenador tiene un puerto de este tipo, un atacante que obtiene un breve acceso físico a él puede leer y copiar todos sus datos, incluso si su unidad está encriptada y su ordenador está bloqueado o configurado para dormir,” Bjorn Ruytenberg, un investigador de la Universidad Tecnológica de Eindhoven en los Países Bajos, que encontró la vulnerabilidad, escribió en una entrada de blog.

    un puerto thunderbolt 3

    un mini displayport

    manzana

    Ruytenberg está llamando al ataque “Thunderspy”, y afecta a millones de máquinas Apple, Windows y Linux. Como tal, la amenaza no solo afecta a los protocolos Thunderbolt 1 y 2, que tienen el mismo aspecto que un Mini DisplayPort (ver la imagen superior derecha de arriba), más grueso y más cúbico, sino también Thunderbolt 3, que se parece a un puerto USB-C.

    El ataque subsiguiente, que los hackers pueden propagar a través de la conexión Thunderbolt en menos de 5 minutos, se llama un ataque de acceso directo a la memoria de la criada (DMA). Los malos actores pueden usar ese punto de entrada para robar datos de unidades cifradas, leyendo y escribiendo toda la memoria del sistema.

    En un vídeo de demostración en YouTube, Ruytenberg muestra cómo funciona el ataque en un Lenovo P1 en modo de suspensión. Utiliza un destornillador para quitar la carcasa de la placa posterior de la computadora portátil antes de conectar un programa de flash espía al pin de la placa base que controla el firmware Thunderbolt. En su propio ordenador separado, Ruytenberg parcheó la configuración de seguridad, deshabilitándola de manera efectiva. Sólo le toma unos dos minutos reprogramar los ajustes de esta manera.

    Este contenido se importa desde YouTube. Es posible que pueda encontrar el mismo contenido en otro formato, o puede encontrar más información, en su sitio web.

    El 10 de mayo, Jerry Bryant, director de comunicaciones para las operaciones de seguridad y aseguramiento de productos de Intel, escribió en un comunicado que Intel adoptó algunos protocolos de mitigación de la seguridad el año pasado como respuesta a un tipo similar de ataque llamado Thunderclap. Llamado Kernel DMA Protection, está destinado a permitir a los usuarios autorizar solo dispositivos Thunderbolt de confianza para evitar ataques DMA. Sin embargo, sólo está presente en los sistemas enviados después de 2019, lo que significa que los dispositivos más antiguos que datan de 2011 siguen siendo vulnerables.

    “Los investigadores no demostraron ataques DMA exitosos contra sistemas con estas mitigaciones habilitadas”, escribió Bryant. “Para todos los sistemas, recomendamos seguir las prácticas de seguridad estándar, incluido el uso de solo periféricos de confianza y evitar el acceso físico no autorizado a las computadoras.”

    Desafortunadamente, las vulnerabilidades Thunderspy no se pueden corregir en el software. Esto requerirá un rediseño de silicio en el camino, o de lo contrario también dañará la próxima tecnología Thunderbolt 4.

    Para protegerse del ataque, primero debe considerar la ejecución del software Spycheck de Ruytenberg, que es libre y de código abierto, para verificar si su sistema es o no vulnerable a un ataque Thunderspy. Si su sistema está en riesgo, Spycheck le guiará a través de algunas recomendaciones para protegerse.

    Más allá de eso, Ruytenberg recomienda lo siguiente:

    • Conecte solo sus propios periféricos Thunderbolt. Nunca se los prestes a nadie.
    • Evite dejar el sistema desatendido mientras está encendido, incluso cuando la pantalla está bloqueada.
    • Evite dejar sus periféricos Thunderbolt desatendidos.
    • Garantice la seguridad física adecuada al almacenar el sistema y cualquier dispositivo Thunderbolt, incluidas las pantallas con thunderbolt.
    • Considere la posibilidad de usar la hibernación (Suspender a disco) o apagar el sistema por completo. Específicamente, evite el uso del modo de suspensión (Suspender a RAM).

      Y si no necesitas usar Thunderbolt, Ruytenberg recomienda encarecidamente desactivar el controlador Thunderbolt por completo en UEFI (BIOS). Solo recuerda: Esto hace que todos los puertos Thunderbolt no sean viables, incluida la conectividad USB y DisplayPort. Sin embargo, lo más probable es que la carga USB-C siga funcionando.

        Si bien es extremadamente improbable que sea víctima de este tipo de hackeo, es mejor estar a salvo que lo siento, y lo más fácil que puede hacer para protegerse es simplemente mantener su computadora portátil en un lugar seguro en todo momento. Este ataque nunca puede funcionar si estás alerta.

        Actualización, 14 de mayo de 2020: Esta historia se ha actualizado para incluir una declaración de Intel.

        Este contenido es creado y mantenido por un tercero e importado en esta página para ayudar a los usuarios a proporcionar sus direcciones de correo electrónico. Es posible que pueda encontrar más información sobre este contenido y contenido similar en piano.io

        Esta sección de comentarios es creada y mantenida por un tercero e importada en esta página. Es posible que pueda encontrar más información en su sitio web.


Source link