martes, 22 de noviembre de 2022

ATAQUES DE CRIADAS MALVADAS - REMEDIACIÓN POR POCO DINERO

 

NOTA PRELIMINAR

En este diario, asumimos dispositivos similares a PC con cifrado de disco de última generación (cifrado de disco completo, FDE) y un sistema operativo de escritorio "normal" (Linux, Windows, ...).


¿Qué es el ataque de la criada malvada?

El llamado ataque de la criada malvada es un ataque contra dispositivos de hardware que utilizan hardware y/o software. Se lleva a cabo cuando el hardware se deja desatendido, por ejemplo, en una habitación de hotel cuando sale a desayunar. El atacante manipula el dispositivo de forma maliciosa, por ejemplo:


    • Si el dispositivo está funcionando: enfríe y saque la memoria RAM para copiarla (por ejemplo, para encontrar información confidencial).
    • Manipular la placa base / BIOS (por ejemplo, para agregar una puerta trasera).
    • Manipular el contenido del cargador de arranque sin cifrar (por ejemplo, para agregar una puerta trasera).

    El último ataque puede incluso funcionar con el inicio seguro habilitado debido a vulnerabilidades de día cero en el código de inicio firmado o vulnerabilidades conocidas en el código de inicio firmado, que no está deshabilitado debido a listas de revocación obsoletas en el BIOS.


    Tus posibles opciones:

    Hay varias formas de minimizar el riesgo de un ataque de sirvienta malvada exitoso e inadvertido. El camino que elija depende de su modelo de amenaza personal (y de su presupuesto, por supuesto).


      1. Tomar el riesgo: 
      Si los ataques de la criada malvada no importan en su situación, por ejemplo, porque está utilizando un dispositivo desechable que ya se supone que está comprometido, entonces simplemente puede correr el riesgo.

          2. Hardware adecuado:

      Puedes comprar (o prepararte tú mismo) dispositivos endurecidos especiales (por ejemplo, NitroPad) que hacen que los ataques de las sirvientas malvadas sean casi imposibles de pasar desapercibidos:

      • Tornillos sellados.
      • BIOS/firmware alternativo (Coreboot (https://www.coreboot.org/) y Heads (https://osresearch.net/FAQ/))
      • Intel Management Engine desactivado
      • Llave de hardware para comprobar las firmas/integridad de los archivos de arranque con su llave PGP personal.
      • Cifrado de disco completo.

      Estos dispositivos hacen que el proceso de arranque sea más confiable que el uso de hardware de consumo común:

        • Únicamente código de firmware y BIOS de código abierto.
        • Código de inicio firmado con su clave PGP personal almacenada en un dispositivo de hardware USB y solo conectado temporalmente al sistema para llevar a cabo las comprobaciones de firma.
        • Cifrado de disco completo.
        • Opcional (¿pero genial?): Qubes OS

            3. Deje su dispositivo en funcionamiento:

        Si deja su dispositivo ejecutando el sistema operativo por un lado, probablemente notará si el dispositivo se apagó o se reinició: puede, por ejemplo, tener un editor abierto con algún texto individual no guardado y la pantalla bloqueada. Pero, por otro lado, con un sistema operativo en ejecución, tiene una superficie de ataque muy amplia porque toda la funcionalidad del dispositivo está activa (por ejemplo, interfaces periféricas). Entonces, un atacante puede, por ejemplo, agregar una tarjeta LAN USB y meterse con el sistema tratando de conectarse a la LAN controlada por el atacante. O la agencia de tres letras puede aplicar el exploit desconocido públicamente para el próximo día 0 del sistema operativo o un controlador.

            4. Remediación a bajo precio:

          Si desea tener una solución económica para estar razonablemente seguro de que nadie pasa desapercibido con su dispositivo cuando tiene que dejarlo solo, puede llevar a cabo algunas contramedidas, por ejemplo:


          • Selle todos los tornillos con esmalte de uñas o pegamento con piezas de brillantina y tome fotografías que estén almacenadas fuera de línea para que pueda detectar manipulaciones.
          • Selle las interfaces periféricas no necesarias (por ejemplo, puertos USB).
          • Bloquear los puertos periféricos necesarios con soluciones a prueba de manipulaciones (por ejemplo, bloqueos de un solo uso que deben destruirse para acceder al puerto).
          • Deje el dispositivo en la solicitud de contraseña de arranque del FDE:
          1. (re-) inicie su dispositivo en la solicitud de contraseña FDE.
          2. e ingrese los primeros caracteres de la contraseña correcta (¡importante!)
          3. asegúrese de que el dispositivo permanezca en este modo hasta que regrese (por ejemplo, tiene suficiente energía o la fuente de alimentación está enchufada, deshabilite la configuración de ahorro de energía, ...)


          Cuando regrese, ingrese el resto de la contraseña FDE y, si el dispositivo arranca, puede estar razonablemente seguro de que no ha sido manipulado. Por supuesto, debe examinar el dispositivo físicamente a fondo, por ejemplo, los tornillos, los puertos periféricos, los sellos, etc. Una condición previa importante para que esto funcione es que el código de inicio FDE permita que la solicitud de contraseña permanezca tal como está después de ingresar algunos caracteres. . Fedora 7 y Ubuntu 20.04 parecen funcionar, pero Bitlocker (Windows) no. ¿Esto es a prueba de balas? No. ¿Será esto razonablemente seguro? Depende de su modelo de amenaza. Pero definitivamente es mejor que no hacer nada, dejar el sistema operativo funcionando o apagar el dispositivo por completo. ¡Mantente a salvo y seguro!


          Fuente: isc.sans.edu

          -

          No hay comentarios.:

          Publicar un comentario

          Suscribirse a: Comentarios de la entrada (Atom)

          Las bandas de ransomware reclutan pentesters para mejorar la efectividad de sus ataques

           Estos grupos están contratando figuras de este tipo para probar si su software tendría la capacidad de penetrar en las organizaciones. Much...