Cold Boot Attack: el peligro de la persistencia en memoria RAM

Compartimos un artículo de nuestro amigo Iván Flores, sobre el peligro de la persistencia en memoria RAM.

El Cold Boot Attack (ataque de arranque en frió) se basa en aprovechar la persistencia en la memoria ram mediante el enfriamiento de la memoria.

¿Que es la persistencia? Es la capacidad de un equipo para mantener la información incluso después de apagar la computadora.

La persistencia en la memoria ram es ocasionada por el material con las que están fabricadas, esta persistencia después de apagar la computadora puede tardar hasta 1 o 2 minutos en borrar por completo la información de la memoria.

El Cold boot attack se realiza enfriando la memoria para extender el tiempo de la persistencia de la información hasta 5 a 10 minutos. Esta información es basada sobre una investigación hecha por la universidad de Princeton https://citp.princeton.edu/research/memory/

Antes los investigadores forenses se llevaban el equipo informático apagado, ahora realizan puentes eléctricos para poderse llevar los equipos al laboratorio sin a pagarlo.

En esta ocasión mostrare un poco de la investigación hecha por Princeston en la cual se basan en obtener las credenciales de los cifrados como de Bitlocker o Truecrypt, el problema es que la clave de cifrado tambien se guarda en la memoria RAM, y es posible extraerla.

Para realizar un dumpeo de una memoria RAM con un Cold Boot Attack se puede hacer la siguiente forma.

1.- Destapar las tapas de la memoria RAM, y sin apagar usar un bote casero de Aire comprimido. Estos tiene una particularidad en que si los usas en una posicion que queden al revez, sueltan un liquido muy frio que se puede aplicar en la memoria directamente para enfriarla. En un caso mucho mas profesional se usa el nitrógeno

2.- Enfriamos la memoria, y cortamos la energía de la computadora o la apagamos bruscamente.

3.- Al volver a encenderla tenemos se tiene que bootear desde una usb o por PXE, podemos usar estas herramientas que brinda la universidad de princeston https://citp.princeton.edu/research/memory/code/

4.- Con la herramienta ya booteada podremos realizar una copia bit stream de la memoria, para poder analizarla. También como parte de la investigación de la universidad de princeston publicaron herramientas para la localización de las Claves (AES o RSA).

Veamos el video de la prueba de concepto hecha por alumnos del Princeton. Las contra medidas son aumentar la seguridad física de tu equipo informático, y apagar la computadora si no esta en uso.

Fuente: Flu-Project

 

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s


A %d blogueros les gusta esto: