Atacar TrueCrypt infectando el MBR

Windows Técnico

Sindicación

Proximos HOLs

Loading...

image_thumb[1]Una de las muchas cosas que se detallan en el libro Máxima Seguridad en Windows: “Secretos Técnicos”, es la importancia de la seguridad física de los equipos. El primer apartado se centra en la seguridad de la BIOS. En este apartado se recomienda establecer una contraseña a la BIOS para dificultar en la medida de lo posible que se pueda arrancar el equipo desde una fuente no confiable como un CD ROM o un USB para acceder a los datos o por ejemplo resetear la contraseña de Windows.

Mucha gente a menudo omite la contraseña de la BIOS y una configuración correcta de orden de arranque, argumentando que su disco duro (su partición del sistema) está cifrado con Truecrypt y que por lo tanto aunque consigan arrancar desde un CD ROM o un USB no podrán acceder ni modificar sus datos.

Y esta afirmación en parte es verdad. Pero dicho escenario, existe un ataque que seguramente muchos no conozcan y que puede llevar a un atacante a conocer la contraseña utilizada en Truecrypt para descifrar el disco duro, increíble, ¿no?

En 2009 la experta en seguridad Joanna Rutkowska presentó en su blog una imagen de disco desarrollada en colaboración con Alex Tereshkin que tiene el objetivo de una vez copiada a un USB convierte este en un dispositivo “bootable”. ¿Y qué ocurre cuando se inicia un portátil cifrado con Truecrypt con este USB?

Se arranca un pequeño loader que detecta si en el MBR del disco duro es el MBR de Truecrypt que utiliza para solicitar una contraseña al usuario y descifrar el disco duro. En este caso infecta dicho MBR para lograr que cuando el usuario introduzca la contraseña esta se copie silenciosamente en uno de los primeros sectores del disco que no son utilizados.

El siguiente paso, una vez “infectado” el MBR, sería esperar pacientemente a que el usuario del equipo iniciase el mismo e introdujera la contraseña del equipo. En ese momento esta contraseña habrá sido almacenada y podrá ser accedida posteriormente mediante el mismo USB que se utilizó para infectar el MBR.

Rutkowska expone un escenario de un usuario que se hospeda en un hotel, este cifra su portátil con Truecrypt y deja el equipo abandonado en su habitación. En esta situación una señora de la limpieza con algún que otro conocimiento informático podría arrancar el equipo con el USB mencionado anteriormente, infectar el MBR, esperar pacientemente al día siguiente para darle tiempo al usuario a arrancar su portátil, entonces volver a la habitación, obtener la contraseña utilizada por el usuario en Truecrypt y por último acceder al contenido de su disco duro... ¡Si es que no te puedes fiar de nadie!

A continuación dejamos una imagen de la recuperación de la contraseña:

image_thumb[4]

Podéis obtener más información sobre el ataque y descargar la imagen de USB en el blog de The Invisible Things Lab.

Para mitigar este ataque se debería poner una contraseña a la BIOS. Aunque como se ve en el libro de Máxima Seguridad en Windows la BIOS puede ser reseteada en algunas situaciones. Otra opción mas segura sería poner, si el disco duro lo soporta, una contraseña de acceso al disco duro. Aunque lo ideal es asegurar la seguridad física del equipo y mantenerlo en la medida de lo posible en un lugar seguro, lejos de posibles atacantes.

Como siempre sugerimos la suscripción al canal RSS de Windows Técnico para estar al día de las novedades concernientes a noticias de seguridad y/o productos Microsoft.

image_thumb[6]


Enviado dic 28 2011, 10:00 por Francisco Oca

Comentarios

xxd4v3gxx escrito re: Atacando TrueCrypt infectando el MBR
en 01-02-2012 20:28

Excelente aporte, muy bueno.

Espero poder comprar el libro, saludos desde México.

puff escrito re: Atacando TrueCrypt infectando el MBR
en 01-03-2012 1:42

Vamos, un keylogger de toda la vida, que no hace que el programa en si sea menos seguro.

Simplemente te pilla la contraseña, así tambien me salto yo toda la seguridad el mundo mundial...

Añadir un comentario

(requerido)  
(opcional)
(requerido)  
Recordarme
If you can't read this number refresh your screen
Enter the numbers above: