En reciente informe menciona que es posible extraer la clave de BitLocker, herramienta de cifrado en sistemas Windows, con solo usar el tráfico SPI. Aunque este ataque requeriría acceso físico al sistema objetivo, los expertos mencionan que es relativamente fácil completarlo.
El informe, elaborado por la firma de seguridad F-Secure, menciona que este ataque consiste en rastrear la interfaz Trusted Platform Module (TPM) SPI utilizando herramientas disponibles para cualquier usuario. Los expertos desarrollaron una herramienta complementaria para extraer la clave de BitLocker del tráfico SPI comprometido.
TPM es un coprocesador criptográfico que implementa un conjunto predefinido de operaciones de cifrado, una herramienta de almacenamiento seguro de claves y un conjunto de registros de configuración de plataforma (PCR). Este es uno de los protectores más utilizados para BitLocker ya que permite la capacidad de revelar parte del secreto después de verificar la integridad de la plataforma.
Esta verificación se logra midiendo cada paso durante la carga y guardando los resultados en el PCR. El secreto se puede vincular a valores de PCR específicos y solo se puede divulgar si el estado de PCR actual coincide con estos valores originales.
Usualmente el chip TPM es un módulo separado en la placa base, mientras que el CPU se comunica con este chip a través del concentrador de la plataforma (PCH). La especificación TPM describe tres interfaces diferentes: LPC, I2C y SPI. La interfaz periférica en serie (SPI) es un protocolo de comunicaciones en serie sincrónico que admite comunicaciones dúplex completo a una frecuencia de reloj de alta velocidad.
Acceder al chip TPM generalmente requiere desmontar el dispositivo objetivo, lo cual no es muy práctico. Sin embargo, el firmware UEFI a menudo se almacena en un chip flash basado en SPI que tiene un paquete SOIC-8. Este tipo de embalaje es muy fácil de conectar a sondas convencionales, y dado que se pueden conectar varios dispositivos al mismo bus SPI, es probable que el chip flash y el chip TPM usen el mismo bus.
Además, por lo general solo se puede acceder al chip flash quitando la cubierta posterior o el teclado y, por lo tanto, el chip flash es un objetivo ideal para escuchar mensajes en el bus SPI. Esta táctica elimina la necesidad de soldar de nuevo el equipo y el ataque se puede realizar en un momento conveniente.
En su demostración, los expertos utilizaron una laptop Dell Latitude E5470 con Windows 10 compatible con BitLocker; en este modelo en particular, se puede acceder al TPM quitando la cubierta trasera del dispositivo. El chip Nuvoton NPCT650JAOYX TPM 2.0 viene con el paquete QFN-32 y no es posible probar el chip directamente. Los pines de sincronización de ambos chips están unidos, lo que confirma que están usando el mismo bus SPI.
Cada dispositivo SPI tiene su propia línea SS dedicada, pero la laptop analizada solo tiene dos dispositivos conectados al bus. Por lo tanto, la línea SS del TPM se puede construir tomando la negación de la línea SS del chip de memoria flash. La línea SS también puede simplemente ignorarse. Sin embargo, en esta situación, es posible decodificar el intercambio de memoria flash como intercambio de datos TPM. Las señales SPI se registraron utilizando un analizador lógico Saleae Logic Pro 8. El amplio espacio entre clavijas del paquete SOIC-8 facilita el montaje de los sensores, y todo el proceso de adquisición puede llevar menos de un minuto.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.