Cold Boot: conheça a técnica que pode roubar dados de sua memória RAM e até mesmo informações encriptadas

O termo Cold Boot indica ato de desligar e ligar rapidamente o computador, deixando-o pronto para uma nova inicialização. Caso seja realizado no tempo certo, algo em torno de 2 a 4 segundos, o procedimento conserva uma série de informações armazenadas durante a utilização do sistema operacional e dos demais programas abertos antes da reinicialização.
Os dados são obtidos em seguida, com a inicialização de um sistema operacional reduzido no momento do próximo boot; ele será o responsável por ler os valores armazenados na memória e jogá-los em um dispositivo persistente, como HD portátil ou pendrive. E adivinhe, em meio a estas informações é possível roubar logins de serviços online, senhas de arquivos encriptados e tudo aquilo que o usuário estava usando.
Com esta brecha, mesmo que um mecanismo de proteção por senha seja praticamente inviolável pelo método de tentativa e erro (força bruta), ainda assim é possível obter a senha correta para acessar as informações protegidas.

O susto maior

Se você já achou que as informações acima já eram ruins o suficiente para comprometer a sua segurança, prepare-se pois a situação é ainda pior. Isso porque um grupo de pesquisadores da Universidade de Princeton1, Estados Unidos, constatou em 2008 através de testes práticos que é possível recuperar dados da memória mesmo depois de retirar o pente (módulo) da placa mãe.
A memória RAM já não parece mais tão volátil quanto antes, não é mesmo? Pelo menos existe uma boa notícia nesta história toda: para recuperar os dados depois de remover o pente de memória, o malfeitor vai ter um trabalho monstruoso, conforme descrito a seguir.

Experimentos

Tendo como base pesquisas anteriores, a equipe já tinha em mente que os dispositivos eletrônicos poderiam reter informações por um longo período depois de desligados, desde que mantidos em temperaturas extremamente baixas. O desafio, então, foi descobrir a precisão desta retenção de informações e se o processo poderia afetar a segurança dos computadores.

Experimento A

Para testar a retenção de dados em condições normais, os pesquisadores armazenaram a imagem da famosa pintura Mona Lisa, de Da Vinci, na memória do PC. O teste foi remover o pente de memória com a imagem, plugar em outro computador e tentar recuperar as informações armazenadas após um dado período de tempo.
O resultado surpreendente da recuperação você confere na imagem abaixo, da esquerda para a direita:
5 segundos -> 30 segundos -> 1 minuto -> 5 minutos na temperatura ambiente (reprodução)

Como pode ser observado na imagem, em 5 segundos é possível obter o conteúdo quase completo. Depois de 30 segundos já ocorre uma degradação relevante nos dados, mas ainda com 1 minuto é possível obter os dados com relativa precisão. Infelizmente, este intervalo ainda pode ser o suficiente para capturar uma senha ou outros dados sigilosos de uma possível vítima.

Experimento B

Desta vez, os pesquisadores quiseram observar o índice de recuperação dos dados ao resfriar os pentes de memória até -50 ºC. Abaixo, as imagens do processo realizado com um spray de uso doméstico:
1. Resfriamento do pente de memória ainda conectado;
2. O gás resfria os componentes eletrônicos, formando gelo em volta do pente de memória (-50 ºC!)

3. O pente é removido e colocado sobre uma mesa, até que seja cronometrado o tempo de controle estipulado pela equipe.
Neste experimento foram utilizados dados exatos, ao invés de apenas estimar a visualização da imagem. A porcentagem de erro encontrada com o pente resfriado à -50 ºC, ao religá-lo foi de:
  • 0% após 1 minuto e 0,000095% após 5 minutos com pente do tipo SDRAM da Infineon;
  • 0% após 6 minutos e 0.000036% após 10 minutos com pente do tipo DDR da Samsung;
  • 0.025% após 40 segundos e 0.18% após 1 minuto e 20 segundos com pente do tipo DDR2 da Infineon;
Se você não está muito interessado em interpretar a porcentagem, nem precisa. Saiba que em todos estes testes as chances de recuperar os dados são realmente muito altas, o inverso dos números mostrados acima. O mesmo deve ser observado nas tecnologias DDR3 e posteriores.

Os Resultados

Segundo os pesquisadores, diante dos experimentos, é possível sugerir que os dados dos pentes de memória possam ser recuperados integralmente mesmo após dias, meses ou anos; desde que utilizadas temperaturas extremamente baixas, como as oferecidas pelo nitrogênio líquido, aproximadamente -196 ºC. Lembre-se que hoje em dia não é tão difícil encontrar nitrogênio liquido, é possível encontrar um fornecedor até mesmo com uma rápida pesquisa na Internet.
A equipe também constatou que os modos de hibernação e suspensão do sistema são igualmente frágeis a este tipo de ataque, mesmo quando o retorno do sistema é protegido com senha. Dentre os algoritmos de encriptação quebrados pela equipe através do método Cold Boot estão DES, AES, LRW e RSA.
Os detalhes do experimento, os métodos usados e o código fonte para quebrar a segurança de ferramentas como o TrueCrypt, você encontra no site e nos documentos publicados pelos cientistas (logo abaixo).
1 HALDERMAN, J.; SCHOEN, S.;  HENINGER, N; CLARKSON, W; W. PAUL, W; CALADRINO, J; FELDMAN, A.; APPELBAUM, J; FELTEN, E – Lest We Remember: Cold Boot Attacks on Encryption Keys – Princeton University, 2008.
Anúncios
Esse post foi publicado em DICAS, SEGURANÇA. Bookmark o link permanente.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s