martes, 28 de abril de 2015

5 amenazas que afectan el hardware


5 amenazas que afectan el hardware

Estamos acostumbrados a dividir el concepto de seguridad informática en dos subcategorías desiguales, el hardware y el software. El hardware se considera relativamente seguro y limpio – al contrario que el software, que habitualmente está lleno de bugs y malware.


Este valioso sistema ha estado funcionando durante bastante tiempo, pero últimamente ha mostrado signos de deterioro. Algunos firmware responsables de gestionar distintos componentes del hardware han aumentado su complejidad y están sujeto a vulnerabilidades y exploits. El aspecto más negativo es que, de hecho, en muchos casos los sistemas de detección de amenazas existentes son impotentes.

Para dar luz a esta alarmante tendencia, vamos a revisar las 5 vulnerabilidades más peligrosas del hardware que se han encontrado en los últimos tiempos.
#1: RAM
Nuestro indiscutible líder en la lista de amenazas del hardware es la seguridad DDR DRAM (un tipo de memoria RAM) que no es posible solucionar a través de ningún parche del software. La vulnerabilidad llamada Rowhammer fue provocada, inesperadamente, por el progreso en la industria de Silicon Valley.

Como la geometría computacional continúa reduciéndose, los elementos del hardware soldados en el chip se ponen cada vez más juntos y eso hace que empiecen a interferir. En las memorias actuales de chip este fenómeno debería resultar una activación espontánea de la memoria de la célula cuando obtiene un impulso eléctrico aleatorio de la célula adyacente.
Hasta hace poco, era ampliamente reconocido que este fenómeno fuera imposible de utilizar en cualquier exploit PoC, cosa que podría ayudar a un cibercriminal a ganar control sobre el ordenador infectado. Sin embargo, un equipo de investigadores pudo obtener los privilegios en 15 de los 29 ordenadores portátiles que utilizaban este PoC.
Así es como funciona el PoC: para garantizar la seguridad, solo un programa designado o el mismo sistema operativo puede cambiar ciertos bloques de la memoria RAM. Dicho de manera sencilla, algunos importantes procesos tienen lugar dentro de un edificio bien protegido, mientras que algún programa de poca fiabilidad está intentando entrar por la puerta principal.
Sin embargo, resulta que si uno pisa fuerte en frente de esta puerta (es decir, si cambia el contenido de las células de memoria demasiado rápido y frecuentemente), la cerradura está destinada a romperse. Bueno, las cerraduras son poco fiables hoy en día…
Los nuevos módulos de memoria RAM basados en estándares DDR4 y de “parity check” (aunque son mucho más caros) pueden sostener este tipo de ataques. La mala noticia es que una gran parte de los ordenadores modernos pueden ser hackeados a través del ataque mencionado anteriormente, y no hay remedio. La única solución viable es la sustitución de todos los módulos de la memoria RAM.
#2: El disco duro
Gracias a una reciente investigación realizada por Kaspersky sobre el grupo cibercriminal Equation, ahora somos conscientes de que el firmware que controla el disco duro puede contener muchos objetos interesantes.
Por ejemplo, aquellos que incluyen módulos de malware que toman el control del ordenador afectado como si fueran dioses.
Después de un pirateo así, el disco duro se daña sin posibilidad de ser reparado: el firmware del controlador infectado con un código malicioso oculta los sectores que contienen malware y bloquea cualquier intento de reparar el firmware. Incluso formatear no lleva a nada: el método más fiable para deshacerse del malware es la destrucción física del disco duro hackeado.
La buena noticia aquí es que el ciberataque cuesta mucho dinero y trabajo. Es por esto que la mayoría de los usuarios pueden relajarse y ni siquiera pensar en la posibilidad de que sus discos duros sean hackeados, excepto aquellos que poseen datos valiosos y en los que los costes de un ataque de este tipo sean justificados.
#3: La interfaz USB
La tercera posición en nuestra clasificación la tiene la vulnerabilidad (un poco anticuada pero aún vigente) que afecta la interfaz USB. Noticias recientes desempolvaron este conocido virus. Como sabes, los portátiles más recientes de MacBook de Apple y Google Pixel están equipados con los puertos USB universales que se usan, entre otras cosas, como toma de corriente para cargar el dispositivo.

No hay nada malo en ello, a primera vista, y la última revisión USB presenta un enfoque elegante para la unificación de la interfaz. Pero conectar cualquier dispositivo a través de USB no es seguro. Ya hemos hablado sobre el BadUSB, una vulnerabilidad crítica que fue descubierta el verano pasado.
Este bug permite inyectar un código malicioso en el controlador de dispositivo USB (ya sea la de un dispositivo USB, un teclado, o cualquier otra cosa). Ningún antivirus, incluyendo los productos más poderosos, es capaz de detectarlo. Aquellos que están muy preocupados por la seguridad de sus datos, deben escuchar a los expertos en ITSEC (Criterios de Evaluación de Seguridad en Tecnologías de la Información), que aconsejan dejar de usar los puertos USB para así suavizar el riesgo. Pero para los nuevos portátiles MacBook, esta advertencia es inútil: de todos modos, ¡el dispositivo se debe cargar!
Los escépticos podrían señalar que es imposible inyectar un código malicioso en el cargador (ya que no suponen almacenamiento de datos). Pero este ‘problema’ puede ser abordado ‘tuneando’ el cargador (hace dos años se presentó un PoC que describía el método de infectar un iPhone a través de un cargador).
Una vez se haya inyectado el malware en el cargador, la única cosa que el cibercriminal debería tener en cuenta es colocar el cargador infectado en un lugar público, o si no sustituir el cargador original si se trata de un ataque dirigido.
#4: La interfaz Thunderbolt
El cuarto en nuestra clasificación es otra vulnerabilidad específica de puerto, dirigida a Thunderbolt. En realidad, conectar un dispositivo a través del cable Thunderbolt también puede ser peligroso. El año pasado un investigador de seguridad, Tremmel Hudson, advirtió de un PoC dirigido a productos Mac OS X.
Hudson creó el primer Booktkit dirigido al sistema operativo de Apple, Thunderstrike, que explota los módulos auxiliares de inicio desde dispositivos externos conectados por Thunderbolt. Tan pronto como se consigue, el cibercriminal puede hacer lo que quiera en el ordenador infectado.
En cuanto la investigación de Hudson se puso en marcha, Apple suavizó los riesgos de un ataque en la siguiente actualización del sistema operativo (OS X 10.10.2). Sin embargo, según Hudson, el parche es una medida temporal. El principio de argumento de la vulnerabilidad sigue siendo el mismo, así que la historia continuará.
#5: BIOS
Hubo ocasiones en que los programadores BIOS usaban sus propias recetas secretas. Era casi imposible analizar el firmware, y raramente un hacker podía encontrar virus en los microprogramas.

Como la UEFI (Interfaz Extensible del Firmware) ganó fuerza, una considerable porción del código fuente se convirtió en algo común para diferentes plataformas, lo cual facilitó la vida a los fabricantes de ordenadores y los programadores de BIOS, así como a los ingenieros de malware.
Por ejemplo, la última vulnerabilidad de la UEFI puede ser utilizada para sobrescribir el BIOS, a pesar de cualquier medida de seguridad adoptada, incluso si se trata de una característica de Windows 8 recientemente comercializada, Secure Boot. Se trata de una cuestión específica encontrada en las funciones estándar de BIOS que no interesa mucho a los productores de ordenadores.
La mayoría de las amenazas mencionadas todavía son exóticas y desconocidas para la mayoría de usuarios comunes, e improbables de convertirse en un caso frecuente. Pero la situación puede cambiar abruptamente, y en muy poco tiempo sentiremos nostalgia de los buenos y viejos tiempos, cuando formatear el disco duro era un método infalible para tratar ordenadores infectados.




No hay comentarios:

Publicar un comentario