Ataque de sirvienta malvada

Tipo de violación de seguridad informática

Cualquier dispositivo desatendido, como la computadora portátil que se muestra en la imagen, corre el riesgo de sufrir un ataque de una mucama malvada.

Un ataque de mucama malvada es un ataque a un dispositivo desatendido, en el que un atacante con acceso físico lo altera de alguna manera indetectable para poder acceder posteriormente al dispositivo o a los datos que contiene.

El nombre se refiere al escenario en el que una empleada doméstica podría sustraer un dispositivo dejado desatendido en una habitación de hotel, pero el concepto en sí también se aplica a situaciones como un dispositivo que es interceptado mientras está en tránsito o se lo lleva temporalmente el personal del aeropuerto o de las fuerzas del orden.

Descripción general

Origen

En una publicación de blog de 2009, la analista de seguridad Joanna Rutkowska acuñó el término "Evil Maid Attack" debido a que las habitaciones de hotel son un lugar común donde se dejan dispositivos desatendidos. ^{[1] [2]} La publicación detallaba un método para comprometer el firmware de una computadora desatendida a través de una unidad flash USB externa y, por lo tanto, evitar el cifrado de disco TrueCrypt . ^[2]

D. Defreez, un profesional de seguridad informática, mencionó por primera vez la posibilidad de un ataque de una doncella malvada en los teléfonos inteligentes Android en 2011. ^[1] Habló sobre la distribución WhisperCore para Android y su capacidad para proporcionar cifrado de disco para Android. ^[1]

Notabilidad

En 2007, el ex secretario de Comercio de Estados Unidos Carlos Gutiérrez fue presuntamente víctima de un ataque por parte de una empleada doméstica malvada durante un viaje de negocios a China. ^[3] Dejó su computadora desatendida durante una conversación comercial en Beijing y sospechó que su dispositivo había sido comprometido. ^[3] Aunque las acusaciones aún no se han confirmado ni desmentido, el incidente hizo que el gobierno de Estados Unidos fuera más cauteloso con los ataques físicos. ^[3]

En 2009, varias agencias estadounidenses le aconsejaron al director de tecnología de Symantec, Mark Bregman, que dejara sus dispositivos en Estados Unidos antes de viajar a China. ^[4] Se le indicó que comprara unos nuevos antes de partir y los desechara cuando regresara para que cualquier intento físico de recuperar datos fuera ineficaz. ^[4]

Métodos de ataque

La clásica criada malvada

El ataque comienza cuando la víctima deja su dispositivo desatendido. ^[5] El atacante puede entonces proceder a manipular el sistema. Si el dispositivo de la víctima no tiene protección con contraseña o autenticación, un intruso puede encender la computadora y acceder inmediatamente a la información de la víctima. ^[6] Sin embargo, si el dispositivo está protegido con contraseña, como en el caso del cifrado de disco completo , es necesario comprometer el firmware del dispositivo, generalmente con un disco externo. ^[6] El firmware comprometido luego proporciona a la víctima un mensaje de contraseña falso idéntico al original. ^[6] Una vez que se ingresa la contraseña, el firmware comprometido envía la contraseña al atacante y se elimina a sí mismo después de un reinicio. ^[6] Para completar con éxito el ataque, el atacante debe regresar al dispositivo una vez que haya quedado desatendido por segunda vez para robar los datos ahora accesibles. ^{[5] [7]}

Otro método de ataque es a través de un ataque DMA en el que un atacante accede a la información de la víctima a través de dispositivos de hardware que se conectan directamente al espacio de direcciones físicas. ^[6] El atacante simplemente necesita conectarse al dispositivo de hardware para acceder a la información.

La criada malvada de la red

Un ataque de doncella malvada también puede realizarse reemplazando el dispositivo de la víctima con un dispositivo idéntico. ^[1] Si el dispositivo original tiene una contraseña de cargador de arranque , entonces el atacante solo necesita adquirir un dispositivo con una pantalla de ingreso de contraseña de cargador de arranque idéntica. ^[1] Sin embargo, si el dispositivo tiene una pantalla de bloqueo , el proceso se vuelve más difícil ya que el atacante debe adquirir la imagen de fondo para colocarla en la pantalla de bloqueo del dispositivo imitador. ^[1] En cualquier caso, cuando la víctima ingresa su contraseña en el dispositivo falso, el dispositivo envía la contraseña al atacante, quien está en posesión del dispositivo original. ^[1] El atacante puede entonces acceder a los datos de la víctima. ^[1]

Interfaces vulnerables

BIOS heredado

Se considera que el BIOS heredado es inseguro contra ataques de doncellas malvadas. ^[8] Su arquitectura es antigua, las actualizaciones y las ROM opcionales no están firmadas y la configuración no está protegida. ^[8] Además, no admite el arranque seguro . ^[8] Estas vulnerabilidades permiten a un atacante arrancar desde una unidad externa y comprometer el firmware. ^[8] El firmware comprometido puede configurarse para enviar pulsaciones de teclas al atacante de forma remota. ^[8]

Interfaz de firmware extensible unificada

La Interfaz de Firmware Extensible Unificada (UEFI) proporciona muchas características necesarias para mitigar los ataques de las doncellas maliciosas. ^[8] Por ejemplo, ofrece un marco para el arranque seguro, variables autenticadas en el momento del arranque y seguridad de inicialización del TPM . ^[8] A pesar de estas medidas de seguridad disponibles, los fabricantes de plataformas no están obligados a utilizarlas. ^[8] Por lo tanto, pueden surgir problemas de seguridad cuando estas características no utilizadas permiten a un atacante explotar el dispositivo. ^[8]

Sistemas de cifrado de disco completo

Muchos sistemas de cifrado de disco completo , como TrueCrypt y PGP Whole Disk Encryption , son susceptibles a ataques de doncellas malvadas debido a su incapacidad para autenticarse ante el usuario. ^[9] Un atacante aún puede modificar el contenido del disco a pesar de que el dispositivo esté apagado y cifrado. ^[9] El atacante puede modificar los códigos de carga del sistema de cifrado para robar contraseñas de la víctima. ^[9]

También se explora la capacidad de crear un canal de comunicación entre el gestor de arranque y el sistema operativo para robar de forma remota la contraseña de un disco protegido por FileVault 2. ^[10] En un sistema macOS, este ataque tiene implicaciones adicionales debido a la tecnología de "reenvío de contraseña", en la que la contraseña de la cuenta de un usuario también sirve como contraseña de FileVault, lo que permite una superficie de ataque adicional a través de la escalada de privilegios.

Rayo

En 2019 se anunció una vulnerabilidad denominada " Thunderclap " en los puertos Thunderbolt de Intel que se encuentran en muchas PC y que podría permitir que un actor malintencionado obtenga acceso al sistema a través del acceso directo a memoria (DMA). Esto es posible a pesar del uso de una unidad de gestión de memoria de entrada/salida (IOMMU). ^{[11] [12]} Esta vulnerabilidad fue parcheada en gran medida por los proveedores. A esto le siguió en 2020 " Thunderspy ", que se cree que no se puede parchear y permite una explotación similar del DMA para obtener acceso total al sistema eludiendo todas las funciones de seguridad. ^[13]

Cualquier dispositivo desatendido

Cualquier dispositivo desatendido puede ser vulnerable a un ataque de una doncella maliciosa de la red. ^[1] Si el atacante conoce bien el dispositivo de la víctima, puede reemplazarlo por un modelo idéntico con un mecanismo de robo de contraseñas. ^[1] De esta manera, cuando la víctima ingrese su contraseña, el atacante será notificado instantáneamente y podrá acceder a la información del dispositivo robado. ^[1]

Mitigación

Detección

Un método consiste en detectar si alguien está cerca o manipulando el dispositivo desatendido. Se pueden utilizar alarmas de proximidad, alarmas con detectores de movimiento y cámaras inalámbricas para alertar a la víctima cuando un atacante está cerca de su dispositivo, anulando así el factor sorpresa de un ataque de una empleada doméstica malvada. ^[14] La aplicación Haven para Android fue creada en 2017 por Edward Snowden para realizar dicho monitoreo y transmitir los resultados al teléfono inteligente del usuario. ^[15]

En ausencia de lo anterior, se puede utilizar tecnología de evidencia de manipulación de varios tipos para detectar si el dispositivo ha sido desarmado, incluida la solución de bajo costo de colocar esmalte de uñas con brillantina sobre los orificios de los tornillos. ^[16]

Una vez que se sospecha que se ha producido un ataque, la víctima puede hacer que se revise su dispositivo para ver si se ha instalado algún malware, pero esto es complicado. Los métodos sugeridos son comprobar los hashes de sectores y particiones del disco seleccionados. ^[2]

Prevención

Si el dispositivo está bajo vigilancia en todo momento, un atacante no puede realizar un ataque de mucama malvada. ^[14] Si se deja desatendido, el dispositivo también puede colocarse dentro de una caja de seguridad para que un atacante no tenga acceso físico a él. ^[14] Sin embargo, habrá situaciones, como cuando un aeropuerto o el personal policial se llevan temporalmente un dispositivo, en las que esto no sea práctico.

Las medidas de seguridad básicas, como tener el firmware actualizado más reciente y apagar el dispositivo antes de dejarlo desatendido, evitan que un ataque explote vulnerabilidades en la arquitectura heredada y permita que dispositivos externos ingresen a puertos abiertos, respectivamente. ^[5]

Los sistemas de cifrado de disco basados ​​en CPU, como TRESOR y Loop-Amnesia, evitan que los datos sean vulnerables a un ataque DMA al garantizar que no se filtren a la memoria del sistema. ^[17]

Se ha demostrado que el arranque seguro basado en TPM mitiga los ataques de las doncellas malvadas al autenticar el dispositivo al usuario. ^[18] Lo hace desbloqueándose solo si el usuario proporciona la contraseña correcta y si mide que no se ha ejecutado ningún código no autorizado en el dispositivo. ^[18] Estas mediciones se realizan mediante sistemas de raíz de confianza, como BitLocker de Microsoft y la tecnología TXT de Intel. ^[9] El programa Anti Evil Maid se basa en el arranque seguro basado en TPM y además intenta autenticar el dispositivo al usuario. ^[1]

Véase también

• Ataque de arranque en frío
• Espionaje por encima del hombro (seguridad informática)

Referencias

1. Gotzfried, Johannes; Muller, Tilo. "Análisis de la función de cifrado de disco completo de Android" (PDF) . Grupo de investigación en tecnología y ciencia de la información innovadora . Consultado el 29 de octubre de 2018 .
2. Rutkowska, Joanna (16 de octubre de 2009). "El blog del Laboratorio de Cosas Invisibles: ¡Evil Maid va tras TrueCrypt!". El blog del Laboratorio de Cosas Invisibles . Consultado el 30 de octubre de 2018 .
3. "¿Hackearon los chinos la computadora portátil del secretario del gabinete?". msnbc.com . 2008-05-29 . Consultado el 2018-10-30 .
4. Danchev, Dancho. "El ataque a la memoria USB 'Evil Maid' registra las contraseñas de TrueCrypt". ZDNet . Consultado el 30 de octubre de 2018 .
5. "Guía de F-Secure para los ataques de las criadas malvadas" (PDF) . F-Secure . Consultado el 29 de octubre de 2018 .
6. "Frustrando a la "doncella malvada" [LWN.net]". lwn.net . Consultado el 30 de octubre de 2018 .
7. Hoffman, Chris (28 de septiembre de 2020). "¿Qué es un ataque de "Evil Maid" y qué nos enseña?". How-To Geek . Consultado el 21 de noviembre de 2020 .
8. Bulygin, Yuriy (2013). "Evil Maid Just Got Angrier" (PDF) . CanSecWest . Archivado desde el original (PDF) el 10 de junio de 2016 . Consultado el 29 de octubre de 2018 .
9. Tereshkin, Alexander (7 de septiembre de 2010). "Una doncella malvada va tras el cifrado de disco completo con PGP". Actas de la 3.ª conferencia internacional sobre seguridad de la información y las redes - SIN '10 . ACM. pág. 2. doi :10.1145/1854099.1854103. ISBN 978-1-4503-0234-0. Número de identificación del sujeto  29070358.
10. Boursalian, Armen; Stamp, Mark (19 de agosto de 2019). «BootBandit: un ataque al cargador de arranque de macOS». Informes de ingeniería . 1 (1). doi : 10.1002/eng2.12032 .
11. Staff (26 de febrero de 2019). «Thunderclap: Modern computers are vulnerable to malicious outer devices» (Los ordenadores modernos son vulnerables a dispositivos periféricos maliciosos) . Consultado el 12 de mayo de 2020 .
12. Gartenberg, Chaim (27 de febrero de 2019). "La vulnerabilidad 'Thunderclap' podría dejar a las computadoras con Thunderbolt expuestas a ataques. Recuerde: no conecte cosas al azar a su computadora". The Verge . Consultado el 12 de mayo de 2020 .
13. Ruytenberg, Björn (17 de abril de 2020). "Breaking Thunderbolt Protocol Security: Vulnerability Report. 2020" (PDF) . Thunderspy.io . Consultado el 11 de mayo de 2020 .
14. Danchev, Dancho. "El ataque a la memoria USB 'Evil Maid' registra las contraseñas de TrueCrypt". ZDNet . Consultado el 30 de octubre de 2018 .
15. Shaikh, Rafia (22 de diciembre de 2017). "Edward Snowden ahora te ayuda a convertir tu teléfono en un "perro guardián"". Wccftech . Consultado el 30 de octubre de 2018 .
16. "Los ataques de Evil Maid podrían permitir a los cibercriminales instalar una puerta trasera de firmware en un dispositivo en cuestión de minutos | Cyware". Cyware . Consultado el 30 de octubre de 2018 .
17. Blass, Erik-Oliver; Robertson, William (3 de diciembre de 2012). TRESOR-HUNT: ataque al cifrado limitado por la CPU . ACM. págs. 71–78. doi :10.1145/2420950.2420961. ISBN . 978-1-4503-1312-4.S2CID 739758  .
18. Rutkowska, Joanna (octubre de 2015). "Intel x86 considerado dañino" (PDF) . Invisible Things . S2CID  37285788.