Que tal, bueno el día de hoy hablare de lo que es el Cold Boot Attack (ataque
de arranque en frió) , este ataque se basa en aprovechar
la persistencia en la memoria ram mediante el enfriamiento de la
memoria.
Pero primero que nada:
¿Que es la persistencia? Es la capacidad de un equipo para mantener la información incluso después de apagar la computadora.
La persistencia en la memoria ram es ocasionada por el material con
las que están fabricadas, esta persistencia después de apagar la
computadora puede tardar hasta 1 o 2 minutos en borrar por completo
la información de la memoria.
El Cold boot attack se realiza enfriando la memoria para extender el
tiempo de la persistencia de la información hasta 5 a 10 minutos.
Esta información es basada sobre una investigación hecha por la universidad de Princeton https://citp.princeton.edu/research/memory/
Aquí es donde entra la inseguridad, como hemos visto en post pasados de como Obtener las credenciales de servicios desde la memoria ram el peligro que puede ser que nos saquen una copia a nuestra memoria Ram.
Imagen que muestra la persistencia en la memoria Ram hasta los 5 minutos después de apagar el equipo.
Antes los investigadores forenses se llevaban el
equipo informático apagado, ahora realizan puentes eléctricos para
poderse llevar los equipos al laboratorio sin a pagarlo.
En esta ocasión mostrare un poco de la investigación hecha por
princeston en la cual se basan en obtener las credenciales de los
cifrados como de Bitlocker o Truecrypt, el problema es que la clave de
cifrado tambien se guarda en la memoria RAM, y es posible extraerla.
Para realizar un dumpeo de una memoria ram con un cold boot attack se puede hacer la siguiente forma.
1.- Destapar las tapas de la memoria ram, y sin apagar usar un bote
casero de Aire comprimido. Estos tiene una particularidad en que si los
usas en una posicion que queden al revez, sueltan un liquido muy frio
que se puede aplicar en la memoria directamente para enfriarla. En un
caso mucho mas profesional se usa el nitrógeno
2.- Enfriamos la memoria, y cortamos la energia de la computadora o la apagamos bruscamente.
3.- Al volver a encenderla tenemos se tiene que bootear desde una usb
o por PXE, podemos usar estas herramientas que brinda la universidad de
princeston https://citp.princeton.edu/research/memory/code/
4.- Con la herramienta ya booteada podremos realizar una copia bit
stream de la memoria, para poder analizarla. Tambien como parte de la
investigacion de la universidad de princeston publicaron herramientas
para la localizacion de las Claves (AES o RSA).
Veamos el video de la prueba de concepto hecha por alumnos del Princeston.
ç
Bueno ya podemos ver lo valioso de la información guardada en la memoria RAM.
Contra medidas: Aumentar la seguridad física de tu equipo informático, y apagar la computadora si no esta en uso.
Saludos
Twitter: IvanFlores