Cold Boot: conheça a técnica que pode roubar dados de sua memória RAM e até mesmo informações encriptadas

Todos dizem que a memória RAM perde informações com a ausência de energia, mas a história não é tão simples assim

Por Felipe Augusto Cavalcante em 20/08/2012


O termo Cold Boot indica ato de desligar e ligar rapidamente o computador, deixando-o pronto para uma nova inicialização. Caso seja realizado no tempo certo, algo em torno de 2 a 4 segundos, o procedimento conserva uma série de informações armazenadas durante a utilização do sistema operacional e dos demais programas abertos antes da reinicialização.

Os dados são obtidos em seguida, com a inicialização de um sistema operacional reduzido no momento do próximo boot; ele será o responsável por ler os valores armazenados na memória e jogá-los em um dispositivo persistente, como HD portátil ou pendrive. E adivinhe, em meio a estas informações é possível roubar logins de serviços online, senhas de arquivos encriptados e tudo aquilo que o usuário estava usando.

Com esta brecha, mesmo que um mecanismo de proteção por senha seja praticamente inviolável pelo método de tentativa e erro (força bruta), ainda assim é possível obter a senha correta para acessar as informações protegidas.

O susto maior

Se você já achou que as informações acima já eram ruins o suficiente para comprometer a sua segurança, prepare-se pois a situação é ainda pior. Isso porque um grupo de pesquisadores da Universidade de Princeton1, Estados Unidos, constatou em 2008 através de testes práticos que é possível recuperar dados da memória mesmo depois de retirar o pente (módulo) da placa mãe.

A memória RAM já não parece mais tão volátil quanto antes, não é mesmo? Pelo menos existe uma boa notícia nesta história toda: para recuperar os dados depois de remover o pente de memória, o malfeitor vai ter um trabalho monstruoso, conforme descrito a seguir.

Experimentos

Tendo como base pesquisas anteriores, a equipe já tinha em mente que os dispositivos eletrônicos poderiam reter informações por um longo período depois de desligados, desde que mantidos em temperaturas extremamente baixas. O desafio, então, foi descobrir a precisão desta retenção de informações e se o processo poderia afetar a segurança dos computadores.

Experimento A

Para testar a retenção de dados em condições normais, os pesquisadores armazenaram a imagem da famosa pintura Mona Lisa, de Da Vinci, na memória do PC. O teste foi remover o pente de memória com a imagem, plugar em outro computador e tentar recuperar as informações armazenadas após um dado período de tempo.

O resultado surpreendente da recuperação você confere na imagem abaixo, da esquerda para a direita:

5 segundos -> 30 segundos -> 1 minuto -> 5 minutos na temperatura ambiente (reprodução)


Como pode ser observado na imagem, em 5 segundos é possível obter o conteúdo quase completo. Depois de 30 segundos já ocorre uma degradação relevante nos dados, mas ainda com 1 minuto é possível obter os dados com relativa precisão. Infelizmente, este intervalo ainda pode ser o suficiente para capturar uma senha ou outros dados sigilosos de uma possível vítima.

Experimento B

Desta vez, os pesquisadores quiseram observar o índice de recuperação dos dados ao resfriar os pentes de memória até -50 ºC. Abaixo, as imagens do processo realizado com um spray de uso doméstico:

1. Resfriamento do pente de memória ainda conectado;

 

2. O gás resfria os componentes eletrônicos, formando gelo em volta do pente de memória (-50 ºC!)


3. O pente é removido e colocado sobre uma mesa, até que seja cronometrado o tempo de controle estipulado pela equipe.

Neste experimento foram utilizados dados exatos, ao invés de apenas estimar a visualização da imagem. A porcentagem de erro encontrada com o pente resfriado à -50 ºC, ao religá-lo foi de:

  • 0% após 1 minuto e 0,000095% após 5 minutos com pente do tipo SDRAM da Infineon;
  • 0% após 6 minutos e 0.000036% após 10 minutos com pente do tipo DDR da Samsung;
  • 0.025% após 40 segundos e 0.18% após 1 minuto e 20 segundos com pente do tipo DDR2 da Infineon;

Se você não está muito interessado em interpretar a porcentagem, nem precisa. Saiba que em todos estes testes as chances de recuperar os dados são realmente muito altas, o inverso dos números mostrados acima. O mesmo deve ser observado nas tecnologias DDR3 e posteriores.

Os Resultados

Segundo os pesquisadores, diante dos experimentos, é possível sugerir que os dados dos pentes de memória possam ser recuperados integralmente mesmo após dias, meses ou anos; desde que utilizadas temperaturas extremamente baixas, como as oferecidas pelo nitrogênio líquido, aproximadamente -196 ºC. Lembre-se que hoje em dia não é tão difícil encontrar nitrogênio liquido, é possível encontrar um fornecedor até mesmo com uma rápida pesquisa na Internet.

A equipe também constatou que os modos de hibernação e suspensão do sistema são igualmente frágeis a este tipo de ataque, mesmo quando o retorno do sistema é protegido com senha. Dentre os algoritmos de encriptação quebrados pela equipe através do método Cold Boot estão DES, AES, LRW e RSA.

Os detalhes do experimento, os métodos usados e o código fonte para quebrar a segurança de ferramentas como o TrueCrypt, você encontra no site e nos documentos publicados pelos cientistas (logo abaixo).

1 HALDERMAN, J.; SCHOEN, S.;  HENINGER, N; CLARKSON, W; W. PAUL, W; CALADRINO, J; FELDMAN, A.; APPELBAUM, J; FELTEN, E - Lest We Remember: Cold Boot Attacks on Encryption Keys - Princeton University, 2008.

Fonte(s)
Imagens
| URL curta

Comentários ()