La seguridad y la privacidad de los datos son aspectos cruciales en la era digital actual. Sin embargo, a veces, hasta las soluciones de seguridad más robustas pueden ser vulneradas por dispositivos aparentemente insignificantes. Este artículo analiza cómo un dispositivo Raspberry Pi de $10 logró romper la encriptación de BitLocker, la función de seguridad incorporada en los sistemas operativos Windows.
Introducción a BitLocker
BitLocker es una función de seguridad incorporada en las versiones Pro de Windows 10 y Windows 11. Su objetivo principal es proteger los datos del usuario de accesos no autorizados. BitLocker utiliza el módulo de plataforma segura (TPM, por sus siglas en inglés) para almacenar información crítica, como los registros de configuración de la plataforma y la clave maestra de volumen.
¿Qué es un Raspberry Pi?
Un Raspberry Pi es una serie de computadoras de placa única del tamaño de una tarjeta de crédito. Este dispositivo económico es capaz de realizar varias tareas informáticas y se utiliza ampliamente en proyectos de electrónica y programación.
El descubrimiento del fallo de seguridad
Un youtuber conocido como stacksmashing publicó un video demostrando cómo logró sortear la defensa de BitLocker utilizando un Raspberry Pi Pico, un dispositivo que cuesta menos de $10. En el video, stacksmashing explicó cómo logró interceptar los datos de BitLocker y robar las claves de encriptación, lo que le permitió descifrar los datos almacenados en el sistema.
Cómo fue posible la violación de la seguridad
El ataque se basa en una vulnerabilidad en la forma en que BitLocker se comunica con el TPM. En muchos sistemas que cuentan con un TPM dedicado, BitLocker depende de este módulo externo para almacenar información crítica. Para los TPM externos, este módulo se comunica a través de un bus LPC con la CPU para enviarle las claves de encriptación necesarias para descifrar los datos del disco.
Stacksmashing descubrió que las vías de comunicación (bus LPC) entre la CPU y el TPM externo están completamente desencriptadas durante el arranque, lo que permite a un atacante interceptar datos críticos a medida que se mueven entre las dos unidades, robando así las claves de encriptación.
La ejecución del ataque
En el video, Stacksmashing demostró el proceso de ejecución del ataque. Utilizó un Raspberry Pi Pico para conectarse a un conector LPC no utilizado en la placa base de un viejo portátil Lenovo. El Raspberry Pi estaba programado para leer los valores binarios 0s y 1s del TPM mientras el sistema se estaba iniciando, lo que le permitió reconstruir la Clave Maestra de Volumen.
Una vez obtenida la clave, retiró la unidad de disco duro encriptada y usó un programa llamado dislocker junto con la Clave Maestra de Volumen para descifrar la unidad.
Implicaciones de la violación de la seguridad
Aunque este tipo de ataque requiere acceso físico al dispositivo y cierta experiencia, demuestra que sistemas de seguridad aparentemente robustos pueden ser vulnerados por dispositivos pequeños y económicos. Sin embargo, este fallo parece ser un problema limitado a los TPM discretos.
Recomendaciones para mejorar la seguridad
Aunque este tipo de ataque requiere acceso físico al dispositivo y cierta experiencia, demuestra que sistemas de seguridad aparentemente robustos pueden ser vulnerados por dispositivos pequeños y económicos. Sin embargo, este fallo parece ser un problema limitado a los TPM discretos. Si se tiene un CPU con un TPM incorporado, como los que se encuentran en los modernos CPUs de Intel y AMD, se debería estar a salvo de este fallo de seguridad ya que toda la comunicación del TPM ocurre dentro del propio CPU.
Además, Microsoft recomienda configurar un PIN de BitLocker para evitar este tipo de ataques. Sin embargo, este proceso no es sencillo ya que requiere la configuración de una política de grupo para configurar un PIN.
Este incidente demuestra que incluso las soluciones de seguridad más robustas pueden ser vulneradas por dispositivos aparentemente insignificantes. Sin embargo, también destaca la importancia de implementar medidas de seguridad adicionales, como la configuración de un PIN de BitLocker, para proteger aún más los datos. Aunque un Raspberry Pi de $10 pudo romper la encriptación de BitLocker, es importante recordar que este tipo de ataques requiere acceso físico al dispositivo y cierta experiencia. Así que, a menos que se tenga un adversario con estas habilidades y acceso a su hardware, sus datos deberían estar seguros.