El cifrado de discos duros ahora es inútil: consiguen saltarse Microsoft BitLocker y Apple FileVault

El cifrado es una herramienta valiosísima si queremos asegurarnos de que los datos de nuestras unidades estén protegidos. Sin embargo, todos los datos que se descifran acaban así en la memoria RAM, y ahí se quedan un rato incluso después de haber apagado el ordenador. Con ese método es como han conseguido obtener archivos y contraseñas y claves de cifrado, junto con otra información sensible.

La memoria RAM almacena datos incluso aunque el PC esté apagado

Esto funciona incluso aunque las unidades de almacenamiento estén cifradas, ya sea con Microsoft BitLocker o Apple FileVault. Este tipo de ataques se conocen como ataques de arranque en frío, descubiertos en 2008 y que permiten obtener la información que queda en la memoria RAM durante un rato después de haber apagado el ordenador.

Para evitar este tipo de ataques, los ordenadores actuales cuentan con un método de protección llamado Trusted Computing Group (TCG), el cual sobreescribe el contenido de la memoria RAM cuando se vuelve a encender el ordenador, lo cual hace que los datos que había almacenados en ella queden borrados.

Sin embargo, el equipo de investigadores finlandés de F-Secure que ha descubierto este ataque ha conseguido desactivar este método de sobreescritura cambiando el firmware del ordenador. Para ello, simplemente tienen que usar una herramienta sencilla para reescribir el chip que se encarga de sustituir el contenido de la RAM, y permitir el arranque desde un dispositivo externo. En el siguiente vídeo muestran el proceso:

El fallo es difícil de arreglar

Este tipo de ataques requieren acceso físico al ordenador cuyo contenido se quiere espiar. Lo fácil que es hacerlo una vez se tiene el dispositivo demuestra, en palabras de F-Secure, que seguro que otros atacantes a gran escala ya conocían el ataque desde hace tiempo. Además, funciona en cualquier ordenador, ya sea PC o Mac, y no es fácilmente parcheable.

La empresa ya comunicó a Microsoft, Intel y Apple los fallos, y les han ayudado todo lo posible en el desarrollo de posibles parches o mitigaciones. En el caso de Microsoft, la compañía aplicó algunas mejoras a BitLocker, mientras que Apple dijo que los últimos MacBook están protegidos ante este ataque mediante el uso del chip T2. Para los que no tengan el chip, Apple recomendó que pusieran una contraseña al firmware para evitar accesos no deseados. Intel no ha dicho nada al respecto.

Entre las recomendaciones que el equipo da encontramos que las compañías configuren sus dispositivos para que los atacantes no encuentren nada de provecho, haciendo cosas como apagar el ordenador o hibernarlo junto con requerir que los usuarios tengan que reintroducir su PIN de BitLocker cada vez que arrancan el PC. Los atacantes podrán seguir realizando el ataque, pero el contenido que encontrar no será valioso, al no aparecer contraseñas ni credenciales.

Fuente: The Hacker News | adslzone