Hoy les mostrare el peligro de la información que puede ser guardada en nuestra memoria ram, la importancia de no apagar o reiniciar una computadora después de usarla en algún lugar publico.
Nuevamente realizo una prueba de concepto sin afectar a nadie y la información que muestro es para la educación de los hábitos de seguridad de tu información
Esta prueba de concepto la iba realizar mediante video, pero creo que
la mayoría de las personas prefiere la información en escrito e
imagenes sobre el procedimiento que un video.
Lo que veremos en esta PoC sera como dumpear la memoria ram,
haciendo una copia bit a bit de toda la información alojada en la
memoria, y veremos la información que se guarda en ella, en este caso
las credenciales del correo electronico.
Empezamos con una maquina virtual con windows xp sp3 que se le asignaron 512MB de memoria ram. En ella entraremos a nuestra cuenta de correo, sin guardar ni recordar contraseñas en el navegador.
Una vez logeado, cerraremos nuestra sesion.
Ahora lo que tenemos es una computadora donde se inicio sesion sin guardar nada de informacion en el navegador ni en el sistema operativo.
Pasaremos a hacer la imagen de la copia bit a bit de la memoria ram, en este caso usaremos una herramienta de la empresa Acces Data llamada FTK IMAGER
Instalaremos el ftkimager en la computadora donde se hará el dumpeado de memoria y haremos click en el icono de la memoria ram situado en la parte superior, con el nombre Capture Memory
Esperaremos a que termine la copia de la memoria y nos genera un archivo de Imagen.
Ahora ya con la imagen la podemos abrir con el mismo ftkimager en Archivo y haremos click en Add Evidence Item
Luego haremos click en Image File
Seleccionamos la imagen que nos genero la copia bit a bit de la memoria ram
Una vez se nos abrira toda la informacion en modo texto y en Hexadecimal
Ahora haremos una busqueda en toda la informacion para poder encontrar las credenciales. Podemos hacer boton derecho y dar click en Find o si no mal recuerdo con control + F.
Se pueden usar diferentes Strings para la busqueda dependiendo el servicio de correo por ejemplo: passwd= pwd= o si buscamos algún usuario User, etc.
Hagan sus pruebas con diferentes Strings.
Aqui se muestra la contraseña de la cuenta de correo en Texto Plano
Ademas se puede hacer busqueda de contactos
de la cuenta de correo usando como busqueda algun contacto que tenga la
cuenta por ejemplo
Si quieren buscar contactos de algun dominio en particular se puede buscar en modo texto por usando @gmail.com @hotmail.com ,etc
Recuerden que todo esto se hizo sin guardar ninguna preferencia del sistema.
Bueno esto es la importancia que se debe
tomar a la informacion que se guarda en la memoria ram. Muchos usamos
computadoras en ciber cafes, escuelas, oficinas, etc y nunca reiniciamos
la computadora y entonces toda esta información sige ahi en la memoria.
Después hablare sobre el Cold boot attack
que mediante esta tecnica podemos hacer un dumpeo de la memoria cuando
alguna computadora tiene contraseña en su cuenta y no tenemos acceso.
Esta tecnica se basa en el aprovechamiento de la persistencia
de informacion en la memoria ram despues de ser apagada, debido a su
material que esta hecho esta tarda un tiempo en borrar la informacion
despues de apagar la computadora y mediante una ataque de frio hacemos que esa persistencia tarde mas y nos alcanze el tiempo de poder hacer un dumpeo de la memoria.
Hasta aqui termino este post y espero que
esta información les sirva de ayuda y esten concientes de este tipo de
tecnicas. Recordar que no solo las credenciales se encuentran en la
memoria ram, sino una infinidad de información mas.
Saludos
