Cold Boot Attacks on Encryption Keys
El título puede echar atrás a más de uno, pero es algo muy interesante. Para que nadie se ofenda al final va el link a la información.
Ataques de arranque en frío a Claves de encriptación.
Al contrario de lo que la gente piensa, las DRAMs, usadas actualmente en muchos ordenadores, retienen su contenido desde segundos hasta minutos después de apagar el sistema, incluso a las temperaturas a las que operan o aunque sean extraídas de la placa base. Aunque las DRAMs se vuelven menos fiables cuando no se refrescan, éstas no se borran inmediatamente y el contenido persiste el tiempo suficiente para la adquisición malintencionada (o forense) de imágenes de la memoria del sistema. Este fenómeno limita la capacidad de un s.o. de proteger las claves criptográficas de un atacante que tenga acceso físico al sistema. Se utilizan arranques fríos (cold reboots) para atacar sistemas de encriptación tan conocidos como BitLocker, FileVault, dm-crypt y TrueCrypt, sin usar dispositivos o materiales especiales. Se caracterizan de forma experimental el alcance y la predicción de la remanencia de la memoria y se informa que esos tiempos pueden ser aumentados con técnicas sencillas. Se ofrecen nuevos algoritmos para encontrar claves criptográficas en imágenes de memoria y para corregir errores causados por la degradación de bits al no ser convenientemente refrescados ("bit decay"). Aunque se discuten algunas estrategias para mitigar parcialmente estos riesgos, no se conoce un remedio simple que los elimine.
http://citp.princeton.edu/memory/
Herramientas de protección de datos en varios s.o.:
BitLocker - Windows Vista
FileVault - Mac OS X
dm-crypt - Linux
TrueCrypt - aplicación para los tres s.o. anteriores
Básicamente el texto dice que al apagar un PC, aún puede leerse la información de la RAM porque tarda un tiempo en disiparse la energía y por tanto podemos "leer" las claves criptográficas que se estén usando... ¿Han probado a desmontar un Toshiba o algunas cajas FUNAI? Pues suerte que la memoria normalmente es de "fácil" acceso. Resulta que, salvando algunos escollos como lo que supone que podamos ponernos manos a la obra a desmontar la RAM después de que el dueño del PC lo haya apagado, conseguir abrir la caja del pc (que hay algunas que ni a balazos de lo baratas que son) o acceder a la memoria del portátil sin convertir nuestros dedos en torreznos por las elevadas temperaturas, vamos con nuestra nevera portátil con un poco de Nitrógeno líquido (fijo que en el paki de mi calle lo consigo) para conservarla en frío o un calefactor potente para conservarla en calor, en tal caso en plan Torrente se puede guardar en la huevera y trasladarla a un segundo equipo.
Lo dicho, una vez salvados todos estos escollos, te pones a leer la memoria. Eso tiene tiene que ser más complicado que pillar cacho en el Facebook con la foto de Marco. Vamos, que aunque no tengamos bit-decay, ponte a programar un algoritmo que te interprete lo que hay en la memoria ... que si unas páginas de internet, que si el buscaminas, que si el documento de word que te pide el jefe desde hace días, el messenger, los emoticonos, el iTunes con el MP3 del Canto del loco,... ¿te imaginas la de información revuelta que puede haber ahí? Cualquiera encuentra las dichosas claves criptográficas. Eso sí, seguro que en el CSIC a algún becario ya le han dicho : "Tú, nene, mira a ver si me implementas un algoritmo que filtre una imagen de memoria para sacar las claves criptográficas". La hostia lo que da de sí un becario.
Ataques de arranque en frío a Claves de encriptación.
Al contrario de lo que la gente piensa, las DRAMs, usadas actualmente en muchos ordenadores, retienen su contenido desde segundos hasta minutos después de apagar el sistema, incluso a las temperaturas a las que operan o aunque sean extraídas de la placa base. Aunque las DRAMs se vuelven menos fiables cuando no se refrescan, éstas no se borran inmediatamente y el contenido persiste el tiempo suficiente para la adquisición malintencionada (o forense) de imágenes de la memoria del sistema. Este fenómeno limita la capacidad de un s.o. de proteger las claves criptográficas de un atacante que tenga acceso físico al sistema. Se utilizan arranques fríos (cold reboots) para atacar sistemas de encriptación tan conocidos como BitLocker, FileVault, dm-crypt y TrueCrypt, sin usar dispositivos o materiales especiales. Se caracterizan de forma experimental el alcance y la predicción de la remanencia de la memoria y se informa que esos tiempos pueden ser aumentados con técnicas sencillas. Se ofrecen nuevos algoritmos para encontrar claves criptográficas en imágenes de memoria y para corregir errores causados por la degradación de bits al no ser convenientemente refrescados ("bit decay"). Aunque se discuten algunas estrategias para mitigar parcialmente estos riesgos, no se conoce un remedio simple que los elimine.
http://citp.princeton.edu/memory/
Herramientas de protección de datos en varios s.o.:
BitLocker - Windows Vista
FileVault - Mac OS X
dm-crypt - Linux
TrueCrypt - aplicación para los tres s.o. anteriores
Básicamente el texto dice que al apagar un PC, aún puede leerse la información de la RAM porque tarda un tiempo en disiparse la energía y por tanto podemos "leer" las claves criptográficas que se estén usando... ¿Han probado a desmontar un Toshiba o algunas cajas FUNAI? Pues suerte que la memoria normalmente es de "fácil" acceso. Resulta que, salvando algunos escollos como lo que supone que podamos ponernos manos a la obra a desmontar la RAM después de que el dueño del PC lo haya apagado, conseguir abrir la caja del pc (que hay algunas que ni a balazos de lo baratas que son) o acceder a la memoria del portátil sin convertir nuestros dedos en torreznos por las elevadas temperaturas, vamos con nuestra nevera portátil con un poco de Nitrógeno líquido (fijo que en el paki de mi calle lo consigo) para conservarla en frío o un calefactor potente para conservarla en calor, en tal caso en plan Torrente se puede guardar en la huevera y trasladarla a un segundo equipo.
Lo dicho, una vez salvados todos estos escollos, te pones a leer la memoria. Eso tiene tiene que ser más complicado que pillar cacho en el Facebook con la foto de Marco. Vamos, que aunque no tengamos bit-decay, ponte a programar un algoritmo que te interprete lo que hay en la memoria ... que si unas páginas de internet, que si el buscaminas, que si el documento de word que te pide el jefe desde hace días, el messenger, los emoticonos, el iTunes con el MP3 del Canto del loco,... ¿te imaginas la de información revuelta que puede haber ahí? Cualquiera encuentra las dichosas claves criptográficas. Eso sí, seguro que en el CSIC a algún becario ya le han dicho : "Tú, nene, mira a ver si me implementas un algoritmo que filtre una imagen de memoria para sacar las claves criptográficas". La hostia lo que da de sí un becario.
