NVIDIA está en el ojo del huracán una vez más. La situación en torno a la falta de componentes o el precio, excesivo en muchos casos, de las tarjetas gráficas firmadas por la compañía estadounidense no son el motivo hoy. En este caso, hablamos de un ataque hacker a sus propios servidores que se ha saldado con el robo masivo de cerca de 1TB de información, estrategias de futuro y, lo peor de todo, datos importantes.
Esta noticia se suma a la ya enorme lista de ataques DDoS que han sufrido importantes compañías tecnológicas en los últimos años. No obstante, este robo de datos del que ya nos hicimos eco a finales del pasado febrero esconde varios detalles peligrosos. El robo de dos certificaciones de firma de código ya ha generado una primera respuesta por parte de estos hackers: el envío masivo de drivers de tarjetas gráficas de la firma estadounidense que contenían un malware capaz de infectar todo el sistema. Pero, ¿en qué nos afecta esto como usuarios? La respuesta es simple, y es que nuestra seguridad también ha sido comprometida.
Un certificado de código es un mecanismo que usan los equipos desarrolladores para firmar digitalmente archivos y drivers, también llamados controladores, capaces de ser ejecutados en nuestro sistema. Es decir, al tener acceso a estos certificados, en concreto dos con fecha de 2014 y 2018, los hackers podrían firmar un virus, spyware, ransomware o adware con ellos y nuestro PC lo detectaría como válido. Una especie de caballo de Troya —en realidad todos los virus lo son— donde nuestro sistema Windows no puede detectar el malware al analizar el archivo, causando estragos en nuestro dispositivo.
El problema viene cuando a pesar de tratarse de dos certificados con años a sus espaldas y, según Microsoft, ya "caducados" se pueden beneficiar de una funcionalidad troncal de los sistemas operativos Windows: su compatibilidad. Si bien hoy en día muchos de los certificados son validados por Windows Hardware Quality Labs o WHQL, el sistema operativo suele hacer excepciones e instala cierto software incluso si el certificado ha caducado.
As part of the #NvidiaLeaks, two code signing certificates have been compromised. Although they have expired, Windows still allows them to be used for driver signing purposes. See the talk I gave at BH/DC for more context on leaked certificates: https://t.co/UWu3AzHc66 pic.twitter.com/gCrol0BxHd
— Bill Demirkapi (@BillDemirkapi) March 3, 2022
La fortaleza de Windows es la compatibilidad con versiones anteriores
Pero, ¿por qué esto es peligroso? Pongámonos en situación: si ejecutamos un software, independientemente del que sea, en nuestro disco duro, automáticamente el sistema operativo descifra la firma del programa y la coteja con el certificado "raíz" del sistema. Si un programa incluye una firma validada en algún momento por la propia Microsoft, como puede suceder en este caso, aunque ésta haya caducado, sigue siendo de confianza. Esta "vista gorda" del sistema operativo se puede usar en beneficio de los propios piratas informáticos al introducir diferentes virus firmado como un programa verificado.
La fortaleza de Windows es la compatibilidad con versiones anteriores, por lo que ésto supone un enorme quebradero de cabeza para la compañía estadounidense. Ahora mismo, Microsoft tiene una situación difícil por delante. Si permite que los certificados ya caducados no sean de confianza, una gran cantidad de software antiguo dejará de funcionar o generará errores preocupantes y falta de estabilidad al iniciarse en nuestro sistema operativo.
¿Qué podemos hacer nosotros como usuarios para evitar los problemas a futuro? En este caso y como alternativa más factible que la de volver a la edad de piedra —entendiendo esta radical forma de hablar como la única manera de evitar los ataques informáticos y los virus que nos rodean día a día—, ser precavido es lo más importante. Ahora mismo, el problema está focalizado en los drivers falsos que pueden entrar en nuestro sistema y los programas potencialmente peligrosos.
Para tener un buen control de los drivers que instalamos en nuestro sistema tenemos que acudir exclusivamente al cliente de descarga de nuestra tarjeta gráfica, es decir, GeForce Experience en el caso de NVIDIA o AMD Radeon Software por parte de AMD. A no ser que tengáis un dispositivo nuevo y no dispongáis de ambos software de descarga, la opción más eficaz es obtenerlo en las webs de NVIDIA o AMD para saber con certeza qué tipo de software estamos introduciendo en el PC.
That escalated quickly #Lapsus
— Florian Roth (@cyb3rops) March 3, 2022
#Nvidia #LeakedCertificate
Mimikatzhttps://t.co/TrY6vL2mEE
KDUhttps://t.co/RDf6bnuArk pic.twitter.com/Jl4tpS5KEr
Por último, a la hora de instalar un programa, siempre debéis hacerlo desde las propias páginas oficiales del software en cuestión. Portales de terceros o enlaces P2P —esencialmente los compartidos por torrent— son actualmente un campo de batalla donde los virus campan a sus anchas. La situación no es crítica, tampoco catastrófica. Microsoft aún puede incluir todos esos certificados en una lista negra de cara al futuro y usar únicamente los certificados ofrecidos por el sistema de calidad y control de WHQL, pero recordad el dicho: "más vale el remedio que la enfermedad".
Ver 1 comentarios