Un error en Thunderbolt permite a los piratas informáticos robar datos incluso de una computadora encriptada. Esta fue la conclusión del especialista en ciberseguridad Bjorn Rutenberg, cuyo estudio lidera Wired. Thunderbolt ofrece una velocidad de transferencia extremadamente alta, dando a los dispositivos acceso directo a la memoria de su PC, lo que crea una serie de vulnerabilidades.
Anteriormente, los investigadores de ciberseguridad creían que estas vulnerabilidades podrían abordarse negando el acceso a dispositivos no confiables o desactivando Thunderbolt por completo, pero proporcionando acceso a DisplayPort y USB-C. Sin embargo, el método descrito por Ruthenberg supera esa defensa. Para robar datos de una computadora, incluso si están encriptados, un pirata informático necesitará acceso físico a la computadora, aproximadamente cinco minutos de tiempo pudiendo saltarse el bloqueo de la computadora y acceder a datos protegidos, dice el informe del investigador.
«Todo lo que el atacante necesita hacer es desenroscar la placa posterior, conectar un dispositivo momentáneamente, reprogramar el firmware, volver a colocar la placa posterior y el atacante ya tiene acceso completo al portátil», explica Ruytenberg a Wired.
El método implica cambiar el firmware que controla Thunderbolt. Tales manipulaciones permitirán que cualquier dispositivo acceda al puerto. La piratería no deja rastros, por lo que el usuario nunca sabrá que los datos de su PC han sido robados, dice Rutenberg.
Según explica el investigador, todos las computadoras equipadas con Thunderbolt y sistemas Windows o Linux vendidos entre 2011 y 2020 pueden ser vulnerables. Sin embargo, desde 2019 algunos fabricantes ofrecen la protección Kernel DMA, que los protege parcialmente.
Entre las vulnerabilidades que aprovecha Thunderspy se encuentran las siguientes:
- Verificación de firmware inadecuada
- Debilidad en la autenticación del dispositivo
- Uso de metadatos no autenticados
- Ataque de degradación utilizando compatibilidad con versiones anteriores
- Uso de configuraciones de controlador no autenticadas
- Deficiencias de la interfaz flash SPI
- Sin seguridad de Thunderbolt en Boot Camp
Si tiene la intención de utilizar una conexión Thunderbolt, Bjorn Rutenberg recomienda encarecidamente:
- Conecte solo sus propios periféricos Thunderbolt.
- Nunca se los prestes a nadie.
- No deje el sistema desatendido, incluso si está bloqueado.
- No deje los periféricos Thunderbolt sin vigilancia.
- Debe proporcionar seguridad física adecuada durante el almacenamiento del sistema y cualquier dispositivo con Thunderbolt.
Anteriormente se informó que la fuente de alimentación de la computadora puede convertirse en una fuente de pérdida de datos incluso sin Internet. Un especialista en TI de la Universidad Ben-Gurion, Mordechai Guri, está trabajando en la creación de métodos similares para la fuga de datos de una computadora desconectada físicamente de las redes locales y globales.
