YouTuber rompe el cifrado BitLocker en menos de un minuto usando una Raspberry Pi Pico de 5 dólares

El cifrado BitLocker de Microsoft es una de las soluciones de cifrado más disponibles que permite a los usuarios cifrar y proteger datos de forma segura contra actores de amenazas. Sin embargo, parece que BitLocker no es tan seguro como la gente piensa.

A principios de esta semana, YouTuber stacksmashing publicó un video que muestra cómo pudo interceptar los datos de BitLocker y robar las claves de cifrado que le permitieron descifrar los datos almacenados en el sistema. No solo eso, sino que logró los resultados en 43 segundos usando una Raspberry Pi Pico que probablemente cueste menos de $10.

Para ejecutar el ataque aprovechó el Trusted Platform Module o TPM. En la mayoría de las computadoras y portátiles ocupados, el TPM está ubicado externamente y utiliza el bus LPC para enviar y recibir datos desde la CPU. BitLocker de Microsoft se basa en TPM para almacenar datos críticos, como registros de configuración de plataforma y clave maestra de volumen.

Al probar stacksmashing, se descubrió que el bus LPC se comunica con la CPU a través de vías de comunicación que no están cifradas en el arranque y que se pueden aprovechar para robar datos críticos. Ejecutó el ataque en una vieja computadora portátil Lenovo que tenía un conector LPC sin usar en la placa base junto a la ranura SSD M.2. stacksmashing conectó una Raspberry Pi Pico a los pines metálicos del conector no utilizado para capturar las claves de cifrado durante el arranque. La Raspberry Pi estaba configurada para capturar los 0 y 1 binarios del TPM mientras el sistema se iniciaba, lo que le permitió reconstruir la clave maestra de volumen. Una vez hecho esto, sacó la unidad cifrada y usó el desbloqueo con la clave maestra de volumen para descifrar la unidad.

Microsoft señala que estos ataques son posibles , pero dice que requerirán herramientas sofisticadas y un acceso físico prolongado al dispositivo. Sin embargo, como se muestra en el vídeo, alguien preparado para ejecutar un ataque puede hacerlo en menos de un minuto.

Sin embargo, hay algunas advertencias al respecto que es necesario tener en cuenta. Este ataque solo puede funcionar con módulos TPM externos donde la CPU necesita obtener datos del módulo de la placa base. Muchas CPU de computadoras portátiles y de escritorio nuevas ahora vienen con fTPM, donde los datos críticos se almacenan y administran dentro de la propia CPU. Dicho esto, Microsoft recomienda configurar un PIN de BitLocker para detener estos ataques, pero no es fácil hacerlo ya que será necesario configurar una Política de grupo para configurar un PIN.