Ataque Cold-Boot roba credenciales en dos minutos
Investigadores de seguridad descubrieron una forma de extraer datos sensibles de la memoria RAM como las claves de cifrado incluso después de la pérdida de energía.
Conocida por su volatilidad en la retención de datos cuando está fuera de servicio, la RAM (memoria de acceso aleatorio) puede preservar la información durante más tiempo, incluso minutos, en condiciones de baja temperatura.
Protección temprana contra ataques de arranque en frío
El primer ataque de arranque en frío fue desarrollado hace una década. Este tipo de compromiso de canal lateral requiere acceso físico a la computadora y esto lo hace práctico contra objetivos de alto valor en lugar de usuarios regulares. Aun así, los fabricantes de computadoras han implementado salvaguardias contra esto.
Trusted Computing Group, un consorcio formado por AMD, Hewlett-Packard, IBM, Intel y Microsoft, decidió proteger las computadoras contra este vector de amenazas sobrescribiendo los contenidos de la memoria RAM cuando volvió la energía.
La especificación se denomina Mitigación de ataque de restablecimiento de TCG o Bloqueo MORLOck (Control de solicitud de sobrescritura de memoria).
De esta forma, toda la información en la memoria desaparecería cuando el sistema arrancara, incluso si el atacante actuó con la suficiente rapidez para crear las condiciones de baja temperatura necesarias para mantener los datos en la memoria.
Los investigadores de seguridad Olle Segerdahl y Pasi Saarinen de F-Secure encontraron una forma de reprogramar la parte no volátil del chip de memoria que almacena las instrucciones de sobrescritura; por lo tanto, pudieron desactivar esta acción y habilitar el arranque desde un dispositivo externo (memoria USB) para extraer y analizar los datos disponibles en la memoria RAM.
Su ataque funciona en computadoras en modo de suspensión, ya que el apagado y las acciones de hibernación interrumpen la alimentación y hacen que la memoria residual se degrade rápidamente más allá de la recuperación.
Cuando está en modo de suspensión, el estado de la computadora se guarda en la RAM, que se ejecuta en un estado de energía mínima para contener los datos.
Dos minutos es más que suficiente para obtener las contraseñas
Los dos investigadores demostraron el nuevo ataque de arranque en frío en un video, que muestra que un adversario preparado puede ejecutar el ataque en menos de dos minutos:
El intervalo crítico es entre apagar la máquina y volver a encenderla. Congelar los chips de RAM, sin embargo, ayuda a preservar los datos durante este tiempo, lo que permite el arranque en un sistema operativo en vivo desde un dispositivo USB.
La técnica puede robar los datos en la memoria de la computadora, incluidas las claves de cifrado del disco duro.
En el caso de BitLocker, si está configurado para la autenticación previa al inicio con un PIN, el ataque tiene un solo intento para tener éxito porque el código es obligatorio para extraer las claves de cifrado en la memoria RAM.
Los investigadores dicen que su ataque es confiable en máquinas con Windows que ya se están ejecutando o que no requieren un PIN.
'No es exactamente fácil de hacer, pero no es un tema lo suficientemente difícil de encontrar y explotar para que ignoremos la probabilidad de que algunos atacantes ya lo hayan descubierto', dice Olle Segerdahl.
Añadió que no es práctico en objetivos fáciles, pero estaría en la lista de opciones de un atacante para un 'phishing más grande, como un banco o una gran empresa'.
Como defenderse contra el ataque
La principal recomendación de los expertos es configurar las computadoras portátiles para apagar o hibernar en lugar de ingresar al modo de suspensión. La combinación de autenticación previa al inicio hace que la defensa sea aún más sólida.