La tecnología de cifrado BitLocker de Microsoft es una de las soluciones de cifrado más accesibles, que permite a los usuarios cifrar y proteger datos de forma segura contra amenazas. Sin embargo, BitLocker no parece ser tan seguro como la gente piensa. A principios de esta semana, el usuario de YouTuber stacksmashing publicó un video que muestra cómo interceptó datos de BitLocker y robó claves de cifrado, descifrando así los datos almacenados en el sistema. No solo eso, sino que lo hizo en 43 segundos usando una Raspberry Pi Pico que probablemente cueste menos de $10.

Para llevar a cabo el ataque, aprovechó el Módulo de plataforma segura (TPM). En la mayoría de las computadoras y portátiles, el TPM es externo y utiliza el bus LPC para enviar y recibir datos desde la CPU. BitLocker de Microsoft se basa en el TPM para almacenar datos críticos, como registros de configuración de plataforma y claves maestras de volumen.

Durante las pruebas, stacksmashing descubrió que el bus LPC se comunica con la CPU a través de líneas de comunicación. Estas líneas de comunicación no están cifradas al inicio y pueden robar datos críticos. Stacksmashing conecta una Raspberry PiPico a pines metálicos en un conector no utilizado para capturar claves de cifrado en el arranque. La RaspberryPi está configurada para capturar los 0 y 1 binarios del TPM en el inicio del sistema para que pueda reconstruir la clave maestra de volumen. Una vez completado, eliminó la unidad cifrada y la descifró usando un desbloqueo con la clave maestra de volumen.

Microsoft señala que estos ataques son posibles, pero dice que requerirían herramientas sofisticadas y acceso físico prolongado al dispositivo. Sin embargo, como muestra el vídeo, alguien dispuesto a llevar a cabo el ataque puede completarlo en menos de un minuto.

Sin embargo, hay algunas advertencias a tener en cuenta. Este ataque solo funciona en módulos TPM externos, la CPU necesita obtener datos del módulo en la placa base. Muchas CPU de computadoras portátiles y de escritorio nuevas ahora están equipadas con fTPM, donde los datos críticos se almacenan y administran dentro de la propia CPU. Microsoft recomienda configurar un PIN de BitLocker para bloquear estos ataques, pero hacerlo no es fácil ya que es necesario establecer una política de grupo para configurar el PIN.