Thunderstrike, el boot kit que Apple no puede eliminar

/ January 9, 2015

shutterstock_209983375-680x400

OS X siempre ha sido anunciado como el sistema operativo mas avanzado del mundo, y siendo honestos es en mi opinión el mejor, claro, todo depende de para que lo usas y de las herramientas que usas en tu dia a dia, pero siendo un poco mas técnicos OS X vence por mucho a Windows, en cuanto a lo que pasa en los engranes del sistema operativo, su herencia unixera, algo que lo hace tan estable es que el mismo Apple controla el hardware sobre el que se instala.

OS X asi como Linux y otros Unixes son inmunes a los virus de Windows, pero eso no quiere decir que no haya software malicioso en la red que pueda atacarnos,  aunque en muchos casos es necesario tener acceso directo al equipo para poder afectarlo. Este es el caso de Thunderstrike.

Pero a diferencia de otros ataques que requieren acceso al equipo para poder afectarlo, Thunderstrike es un bootkit que hace uso de un fallo de seguridad en Thunderbold para poder actuar, eso se resume en que con el acceso via thunderbold a un dispositivo afectado tu computadora puede quedar afectada, lo peor de todo, no te darías cuenta de nada.

Incluso, si te pudieras dar cuenta, no es posible remediarlo, Thunderstrike se aloja en el ROM de la placa madre, aquella que guarda información Top-Secret de Apple como su llave RSA con la que firma las actualizaciones. El bootkit se instala y modifica la firma para evitar que las actualizaciones de Apple puedan eliminar el bootkit, así es, los mismos mecanismos de seguridad de Apple le impiden eliminar a Thunderstrike.

Como el bootkit está instalado en el ROM de la placa madre, es imposible de eliminar al cambiar el sistema operativo, no importa si formateas 1000 veces el disco duro/SSD o si lo cambias por completo, quien está infectado es la placa madre, y ahi solo que hagas un cambio de ella.

El bootkit permite al atacante abrir una puerta trasera en tu equipo y tener acceso a todos tus datos, así como saber del trafico de red, lo que escribes, el password de tu disco duro encriptado, ¡todo!.

De momento, para poder infectar a un equipo es necesario conectar un dispositivo via thunderbold, es decir, tener acceso al equipo, pero es posible que con un poco mas de investigación se pueda lograr hacer ataques via remota.

Esto cambiará la forma en la que Thunderbold y las actualizaciones de firmware de Apple funcionan.

 1,902 total views,  2 views today

Related posts

Leave a Reply