Guía para lidiar con los riesgos asociados a las vulnerabilidades en Thunderbolt

 

Thunderspy fue descubierto por el investigador Björn Ruytenbergm en mayo de este año y, como explica el experto de Eset, Aryeh Goretsky, su investigación recibió mucha difusión por la novedad del vector de ataque utilizado, pero “no se ha ahondado lo suficiente en cómo protegerse de esta vulnerabilidad y ni siquiera se ha hablado de cómo saber si una máquina ha sido atacada”, apunta.

Mediante Thunderspy, un atacante puede cambiar, e incluso eliminar, las medidas de seguridad provistas en la interfaz Thunderbolt de un ordenador y, como resultado, un delincuente que tenga acceso físico al ordenador objetivo puede robar información incluso aunque el disco esté cifrado y la máquina se encuentre bloqueada con contraseña o suspendida en modo de ahorro de batería.

Según Goretsky, los ataques basados en Thunderbolt son escasos porque están dirigidos a unos objetivos muy concretos debido a su propia naturaleza. “El hecho de que un usuario típico no sea el objetivo de este tipo de ataques no significa que no deba estar al tanto de lo que sucede, porque nadie está seguro. De hecho, para muchos, seguir algunas de las recomendaciones que realizamos, por extrañas que parezcan, tiene todo el sentido”.

Existen dos tipos de ataques contra la seguridad sobre la que se asienta Thunderbolt para mantener la integridad de un equipo: la clonación de identidades y la desactivación permanente de la seguridad de Thunderbolt de manera que no pueda volver a ponerse en marcha. Ninguno de ellos son sencillos ya que es necesario acceder físicamente al equipo objetivo, lo que limita el rango de las víctimas potenciales a aquellas que tengan un valor elevado para las agencias de inteligencia nacionales, como ejecutivos de importantes empresas, personal administrativo o empleados que se encuentren en primera línea, casi siempre con objetivos relacionados con el ciberespionaje industrial.

Para defenderse de Thunderspy, de la misma manera que frente a otros ataques en los que se precisa de un acceso físico al sistema, es importante decidir si el fin es evidenciar que ha ocurrido un ataque físico o protegerse contra él. Los métodos de protección se dividen en diferentes categorías: “Lo primero es prevenir cualquier acceso no autorizado al ordenador. Después, proteger todas las interfaces y puertos importantes del ordenador, como los USB-C. Además de esto, más allá de las medidas físicas, también es importante mantener el firmware y el software protegidos”, resume Goretsky.

Además, es importante eliminar la hibernación y cualquier modo híbrido de apagado ualquier ataque de Thunderspy y utilizar soluciones de protección que puedan analizar el firmware UEFI de la máquina, ya que es una de las zonas en las que se almacena la información de seguridad de Thunderbolt.