17 ene 2013

COLD BOOT ATTACK: El peligro de la persistencia en la memoria RAM

Buenas a todos, hoy os dejamos con un artículo de nuestro amigo Iván Flores, sobre el peligro de la persistencia en memoria RAM.

Cold Boot Attack

Que tal, bueno el día de hoy hablare de lo que es elCold Boot Attack (ataque de arranque en frió) , este ataque se basa en aprovechar la persistencia en la memoria ram mediante el enfriamiento de la memoria.

Pero primero que nada:

¿Que es la persistencia?  Es la capacidad de un equipo para mantener la información incluso después de apagar la computadora.

La persistencia en la memoria ram es ocasionada por el material con las que están fabricadas, esta persistencia después de apagar la computadora puede tardar hasta 1 o 2 minutos en borrar por completo la información de la memoria.

El Cold boot attack se realiza enfriando la memoria para extender el tiempo de la persistencia de la información hasta 5 a 10 minutos.

Esta información es basada sobre una investigación hecha por la universidad de Princeton https://citp.princeton.edu/research/memory/

Aquí es donde entra la inseguridad, como hemos visto en post pasados de como Obtener las credenciales de servicios desde la memoria ram  el peligro que puede ser que nos saquen una copia a nuestra memoria Ram.

Imagen que muestra la persistencia en la memoria Ram hasta los 5 minutos después de apagar el equipo

Antes los investigadores forenses se llevaban el equipo informático apagado, ahora realizan puentes eléctricos para poderse llevar los equipos al laboratorio sin a pagarlo.

En esta ocasión mostrare un poco de la investigación hecha por princeston en la cual se basan en obtener las credenciales de los cifrados como de Bitlocker o Truecrypt, el problema es que la clave de cifrado tambien se guarda en la memoria RAM, y es posible extraerla.

Para realizar un dumpeo de una memoria ram con un cold boot attack se puede hacer la siguiente forma.

1.- Destapar las tapas de la memoria ram, y sin apagar usar un bote casero de Aire comprimido. Estos tiene una particularidad en que si los usas en una posicion que queden al revez, sueltan un liquido muy frio que se puede aplicar en la memoria directamente para enfriarla. En un caso mucho mas profesional se usa el nitrógeno

2.- Enfriamos la memoria, y cortamos la energia de la computadora o la apagamos bruscamente.

3.- Al volver a encenderla tenemos se tiene que bootear desde una usb o por PXE, podemos usar estas herramientas que brinda la universidad de princeston https://citp.princeton.edu/research/memory/code/

4.- Con la herramienta ya booteada podremos realizar una copia bit stream de la memoria, para poder analizarla. Tambien como parte de la investigacion de la universidad  de princeston publicaron herramientas para la localizacion de las Claves (AES o RSA).

Veamos el video de la prueba de concepto hecha por alumnos del Princeston.

[youtube JDaicPIgn9U nolink]

Bueno ya podemos ver lo valioso de la información guardada en la memoria RAM.

Contra medidas:  Aumentar la seguridad física de tu equipo informático, y apagar la computadora si no esta en uso.

Saludos

Twitter: IvanFlores

1 comentario:

  1. Interesante, aunque sólo le veo la utilidad en caso de que tengas el pc encendido y con la sesión bloqueada sin posibilidad de realizar un volcado de memoria. Lo de congelarla para llevártela al laboratorio, es inviable si sólo tienes 10 minutos :D

    ResponderEliminar