Un ataque maid maid es un ataque a un dispositivo desatendido, en el que un atacante con acceso físico lo altera de alguna manera indetectable para que luego puedan acceder al dispositivo, o los datos que contiene.
El nombre se refiere al escenario en el que una empleada doméstica podría subvertir un dispositivo que se deja desatendido en una habitación de hotel, pero el concepto en sí mismo también se aplica a situaciones como la interceptación de un dispositivo en tránsito o que se lo lleve temporalmente el aeropuerto o el personal de las fuerzas del orden.
Descripción general
Origen
En una publicación de blog de 2009, la analista de seguridad Joanna Rutkowska acuñó el término "Ataque de sirvienta malvada"; debido a que las habitaciones de hotel son un lugar común donde los dispositivos se dejan desatendidos. [1] [2] La publicación detalló un método para comprometer el firmware en una computadora desatendida a través de una unidad flash USB externa y, por lo tanto, omitir el cifrado de disco TrueCrypt . [2]
D. Defreez, un profesional de seguridad informática, mencionó por primera vez la posibilidad de un ataque maid maid en los teléfonos inteligentes Android en 2011. [1] Habló sobre la distribución de Android WhisperCore y su capacidad para proporcionar cifrado de disco para Android. [1]
Notabilidad
En 2007, el exsecretario de Comercio de Estados Unidos, Carlos Gutiérrez, fue presuntamente blanco de un ataque de una malvada criada durante un viaje de negocios a China. [3] Dejó su computadora desatendida durante una charla comercial en Beijing, y sospechaba que su dispositivo había sido comprometido. [3] Aunque las acusaciones aún no se han confirmado o negado, el incidente hizo que el gobierno de los Estados Unidos fuera más cauteloso con los ataques físicos. [3]
En 2009, varias agencias estadounidenses aconsejaron al director de tecnología de Symantec , Mark Bregman, que dejara sus dispositivos en los Estados Unidos antes de viajar a China. [4] Se le indicó que comprara otros nuevos antes de irse y que los desechara cuando regresara para que cualquier intento físico de recuperar datos fuera ineficaz. [4]
Métodos de ataque
Sirvienta malvada clásica
El ataque comienza cuando la víctima deja su dispositivo desatendido. [5] El atacante puede proceder a manipular el sistema. Si el dispositivo de la víctima no tiene protección con contraseña o autenticación, un intruso puede encender la computadora y acceder inmediatamente a la información de la víctima. [6] Sin embargo, si el dispositivo está protegido con contraseña, como con el cifrado de disco completo , el firmware del dispositivo debe verse comprometido, generalmente con una unidad externa. [6] El firmware comprometido a menudo proporciona a la víctima una solicitud de contraseña falsa idéntica a la original. [6] Una vez que se ingresa la contraseña, el firmware comprometido envía la contraseña al atacante y se elimina después de reiniciar. [6] Para completar con éxito el ataque, el atacante debe regresar al dispositivo una vez que ha sido desatendido por segunda vez para robar los datos ahora accesibles. [5] [7]
Otro método de ataque es a través de un ataque DMA en el que un atacante accede a la información de la víctima a través de dispositivos de hardware que se conectan directamente al espacio de direcciones físicas. [6] El atacante simplemente necesita conectarse al dispositivo de hardware para acceder a la información.
Red maid malvada
También se puede realizar un ataque de sirvienta malvada reemplazando el dispositivo de la víctima con un dispositivo idéntico. [1] Si el dispositivo original tiene una contraseña de cargador de arranque , entonces el atacante solo necesita adquirir un dispositivo con una pantalla de entrada de contraseña de cargador de arranque idéntica. [1] Sin embargo, si el dispositivo tiene una pantalla de bloqueo , el proceso se vuelve más difícil ya que el atacante debe adquirir la imagen de fondo para colocarla en la pantalla de bloqueo del dispositivo que imita. [1] En cualquier caso, cuando la víctima ingresa su contraseña en el dispositivo falso, el dispositivo envía la contraseña al atacante, que está en posesión del dispositivo original. [1] El atacante puede acceder a los datos de la víctima. [1]
Interfaces vulnerables
BIOS retrocompatible
El BIOS heredado se considera inseguro contra los ataques de las criadas malvadas. [8] Su arquitectura es antigua, las actualizaciones y las ROM de opción no están firmadas y la configuración no está protegida. [8] Además, no es compatible con el arranque seguro . [8] Estas vulnerabilidades permiten que un atacante arranque desde una unidad externa y comprometa el firmware. [8] El firmware comprometido se puede configurar para enviar pulsaciones de teclas al atacante de forma remota. [8]
Interfase Extensible de Firmware Unificado
La Interfaz de firmware extensible unificada (UEFI) proporciona muchas características necesarias para mitigar los ataques de las criadas malvadas. [8] Por ejemplo, ofrece un marco para un arranque seguro, variables autenticadas en el momento del arranque y seguridad de inicialización de TPM . [8] A pesar de estas medidas de seguridad disponibles, los fabricantes de plataformas no están obligados a utilizarlas. [8] Por lo tanto, pueden surgir problemas de seguridad cuando estas funciones no utilizadas permiten que un atacante se aproveche del dispositivo. [8]
Sistemas de cifrado de disco completo
Muchos sistemas de cifrado de disco completo , como TrueCrypt y PGP Whole Disk Encryption , son susceptibles a los ataques de maid maid debido a su incapacidad para autenticarse ante el usuario. [9] Un atacante aún puede modificar el contenido del disco a pesar de que el dispositivo esté apagado y encriptado. [9] El atacante puede modificar los códigos de carga del sistema de cifrado para robar las contraseñas de la víctima. [9]
También se explora la capacidad de crear un canal de comunicación entre el cargador de arranque y el sistema operativo para robar de forma remota la contraseña de un disco protegido por FileVault 2. [10] En un sistema macOS, este ataque tiene implicaciones adicionales debido a la tecnología de "reenvío de contraseñas", en la que la contraseña de la cuenta de un usuario también sirve como contraseña de FileVault, lo que permite una superficie de ataque adicional mediante la escalada de privilegios.
Rayo
En 2019, se anunció una vulnerabilidad llamada " Thunderclap " en los puertos Intel Thunderbolt que se encuentran en muchas PC, lo que podría permitir que un actor deshonesto obtenga acceso al sistema a través del acceso directo a la memoria (DMA). Esto es posible a pesar del uso de una unidad de gestión de memoria de entrada / salida (IOMMU). [11] [12] Esta vulnerabilidad fue parcheada en gran parte por los proveedores. A esto le siguió en 2020 " Thunderspy ", que se cree que no se puede parchear y permite una explotación similar de DMA para obtener acceso total al sistema sin pasar por todas las funciones de seguridad. [13]
Cualquier dispositivo desatendido
Cualquier dispositivo desatendido puede ser vulnerable a un ataque de sirvienta malvada de la red. [1] Si el atacante conoce el dispositivo de la víctima lo suficientemente bien, puede reemplazar el dispositivo de la víctima con un modelo idéntico con un mecanismo de robo de contraseña. [1] Por lo tanto, cuando la víctima ingresa su contraseña, el atacante será notificado instantáneamente y podrá acceder a la información del dispositivo robado. [1]
Mitigación
Detección
Un enfoque consiste en detectar que alguien está cerca o manipula el dispositivo desatendido. Las alarmas de proximidad, las alarmas del detector de movimiento y las cámaras inalámbricas se pueden utilizar para alertar a la víctima cuando un atacante está cerca de su dispositivo, anulando así el factor sorpresa de un ataque de sirvienta malvada. [14] La aplicación de Android Haven fue creada en 2017 por Edward Snowden para realizar tal monitoreo y transmitir los resultados al teléfono inteligente del usuario. [15]
En ausencia de lo anterior, se puede usar tecnología de evidencia de manipulación de varios tipos para detectar si el dispositivo se ha desarmado, incluida la solución de bajo costo de poner esmalte de uñas con brillo sobre los orificios de los tornillos. [dieciséis]
Después de que se sospecha un ataque, la víctima puede hacer que se revise su dispositivo para ver si se instaló algún malware, pero esto es un desafío. Los enfoques sugeridos son verificar los valores hash de sectores y particiones de disco seleccionados. [2]
Prevención
Si el dispositivo está bajo vigilancia en todo momento, un atacante no puede realizar un ataque de sirvienta malvada. [14] Si se deja desatendido, el dispositivo también puede colocarse dentro de una caja de seguridad para que un atacante no tenga acceso físico a él. [14] Sin embargo, habrá situaciones, como que el personal del aeropuerto o las fuerzas del orden se lleve temporalmente un dispositivo, en las que esto no sea práctico.
Las medidas de seguridad básicas, como tener el último firmware actualizado y apagar el dispositivo antes de dejarlo desatendido, evitan que un ataque aproveche las vulnerabilidades en la arquitectura heredada y permita que los dispositivos externos entren en puertos abiertos, respectivamente. [5]
Los sistemas de cifrado de disco basados en CPU, como TRESOR y Loop-Amnesia, evitan que los datos sean vulnerables a un ataque DMA al garantizar que no se filtren en la memoria del sistema. [17]
Se ha demostrado que el arranque seguro basado en TPM mitiga los ataques maid maid al autenticar el dispositivo ante el usuario. [18] Lo hace desbloqueándose solo si el usuario proporciona la contraseña correcta y si mide que no se ha ejecutado ningún código no autorizado en el dispositivo. [18] Estas mediciones las realiza la raíz de los sistemas de confianza, como BitLocker de Microsoft y la tecnología TXT de Intel. [9] El programa Anti Evil Maid se basa en un arranque seguro basado en TPM y además intenta autenticar el dispositivo ante el usuario. [1]
Ver también
- Ataque de arranque en frío
Referencias
- ^ a b c d e f g h i j k l Gotzfried, Johannes; Muller, Tilo. "Análisis de la función de cifrado de disco completo de Android" (PDF) . Grupo de Investigación Innovadora en Ciencia y Tecnología de la Información . Consultado el 29 de octubre de 2018 .
- ^ a b c Rutkowska, Joanna (16 de octubre de 2009). "El blog de The Invisible Things Lab: ¡Evil Maid va tras TrueCrypt!" . El blog de The Invisible Things Lab . Consultado el 30 de octubre de 2018 .
- ^ a b c "¿Los chinos piratearon la computadora portátil de la secretaria del gabinete?" . msnbc.com . 2008-05-29 . Consultado el 30 de octubre de 2018 .
- ^ a b Danchev, Dancho. " ' Evil Maid' ataque de memoria USB keylogs TrueCrypt contraseñas | ZDNet" . ZDNet . Consultado el 30 de octubre de 2018 .
- ^ a b c "Guía de F-Secure para los ataques de malvadas criadas" (PDF) . F-Secure . Consultado el 29 de octubre de 2018 .
- ^ a b c d e "Frustrar a la" sirvienta malvada "[LWN.net]" . lwn.net . Consultado el 30 de octubre de 2018 .
- ^ Hoffman, Chris. "¿Qué es un ataque de" malvada sirvienta "y qué nos enseña?" . How-To Geek . Consultado el 21 de noviembre de 2020 .
- ^ a b c d e f g h yo Bulygin, Yuriy (2013). "Evil Maid acaba de enojarse" (PDF) . CanSecWest . Consultado el 29 de octubre de 2018 .
- ^ a b c d Tereshkin, Alexander (7 de septiembre de 2010). "Evil maid va tras el cifrado de todo el disco PGP" . Actas de la 3ra conferencia internacional sobre Seguridad de la información y las redes - SIN '10 . ACM. pag. 2. doi : 10.1145 / 1854099.1854103 . ISBN 9781450302340.
- ^ Boursaliano, armenio; Stamp, Mark (19 de agosto de 2019). "BootBandit: un ataque de gestor de arranque macOS" . Informes de ingeniería . 1 (1). doi : 10.1002 / eng2.12032 .
- ^ Staff (26 de febrero de 2019). "Thunderclap: las computadoras modernas son vulnerables a los dispositivos periféricos maliciosos" . Consultado el 12 de mayo de 2020 .
- ^ Gartenberg, Chaim (27 de febrero de 2019). " La vulnerabilidad ' Thunderclap' podría dejar las computadoras Thunderbolt expuestas a ataques. Recuerde: no simplemente conecte cosas al azar en su computadora" . The Verge . Consultado el 12 de mayo de 2020 .
- ^ Ruytenberg, Björn (17 de abril de 2020). "Rompiendo la seguridad del protocolo Thunderbolt: Informe de vulnerabilidad. 2020" (PDF) . Thunderspy.io . Consultado el 11 de mayo de 2020 .
- ^ a b c Danchev, Dancho. " ' Evil Maid' ataque de memoria USB keylogs TrueCrypt contraseñas | ZDNet" . ZDNet . Consultado el 30 de octubre de 2018 .
- ^ Shaikh, Rafia (22 de diciembre de 2017). "Edward Snowden ahora te ayuda a convertir tu teléfono en un" perro guardián " " . Wccftech . Consultado el 30 de octubre de 2018 .
- ^ "Los ataques de Evil Maid podrían permitir a los ciberdelincuentes instalar una puerta trasera de firmware en un dispositivo en solo minutos | Cyware" . Cyware . Consultado el 30 de octubre de 2018 .
- ^ Blass, Erik-Oliver; Robertson, William (3 de diciembre de 2012). TRESOR-HUNT: atacando el cifrado vinculado a la CPU . ACM. págs. 71–78. doi : 10.1145 / 2420950.2420961 . ISBN 9781450313124.
- ^ a b Rutkowska, Joanna (octubre de 2015). "Intel x86 considerado perjudicial". S2CID 37285788 . Cite journal requiere
|journal=
( ayuda )