Inicia sesión




Ataques de arranque en frió, extracción de RAM no conectada

Ataques de arranque en frió, extracción de RAM no conectada¿Sabía que incluso si su sistema está encriptado en un disco completo, sus datos aún se pueden extraer utilizando algo llamado ataque de arranque en frío?

Lo primero de lo que tenemos que hablar es RAM. RAM significa memoria de acceso aleatorio. Todo lo que necesita saber sobre la memoria RAM es que la memoria RAM es el lugar en una computadora donde se guardan el sistema operativo, los programas de aplicación y los datos en uso actual para que el procesador de la computadora los pueda acceder rápidamente. La memoria RAM es mucho más rápida de leer y escribir que otros tipos de almacenamiento en una computadora, disco duro, disquete y CD-ROM. Sin embargo, los datos en la RAM permanecen allí solo mientras su computadora esté funcionando. Cuando apaga la computadora, la RAM pierde sus datos.

Cuando enciendes tu computadora de nuevo, tu sistema operativo y otros archivos se cargan nuevamente en la RAM, generalmente desde tu disco duro. La memoria RAM se puede comparar con la memoria a corto plazo de una persona y el disco duro con la memoria a largo plazo. La memoria a corto plazo se centra en el trabajo en cuestión, pero solo puede tener en cuenta tantos hechos a la vez. Si la memoria a corto plazo se llena, su cerebro a veces puede actualizarla de hechos almacenados en la memoria a largo plazo. Una computadora también funciona de esta manera. Si la RAM se llena, el procesador necesita ir continuamente al disco duro para superponer los datos antiguos en la RAM con una nueva, ralentizando la operación de la computadora. A diferencia del disco duro, que puede estar completamente lleno de datos, la RAM nunca se queda sin memoria.

Los datos se pueden extraer de la RAM usando varias herramientas. Cuando tiene un documento de texto abierto y está trabajando en él, está trabajando desde la RAM. Lo que significa que si está trabajando en un documento confidencial, ese documento se almacena temporalmente en la memoria RAM y es vulnerable a ser extraído mientras la computadora está encendida. Cuando se almacena la memoria RAM, se almacena sin ningún tipo de encriptación, lo que hace que sea muy fácil de robar y un gran riesgo de seguridad.

Apagar una computadora a través de su ciclo de apagado normal generalmente pasa por un proceso de limpieza de la RAM. Sin embargo, si la computadora pierde energía abruptamente, como en un corte de energía, la computadora no pasa por su ciclo de apagado normal y parte de la información permanece en los chips RAM durante unos segundos hasta unos minutos. Esta es una de las formas en que los ataques de arranque en frío pueden funcionar.

También quiero presentarte rápidamente un tipo de RAM que te ayudará a comprender mejor el resto de este artículo. A continuación hay un trabajo de investigación y utilizaron un tipo de ram llamado DRAM. DRAM significa memoria de acceso aleatorio dinámica . DRAM es el tipo más común de memoria de acceso aleatorio (RAM) para computadoras personales y estaciones de trabajo. DRAM es dinámico en eso, a diferencia de la RAM estática (SRAM), necesita tener sus celdas de almacenamiento actualizadas o recibir una nueva carga electrónica cada pocos milisegundos. DRAM está diseñado para perder su memoria rápidamente después de perder potencia. Luego hay subsecciones de DRAM llamadas DDR. Esta es una forma de hacer que la memoria esté disponible más rápidamente, pero no es realmente importante comprenderla por completo. Wikipedia puede darle todo lo que necesita saber sobre DDR. En este artículo, nos centramos solo en el concepto de DDR, DDR2 y DDR3.

Estas son versiones más nuevas de DRAM que siguen mejorando, y creo que actualmente estamos preparados para DDR4. Pero la mayoría de las computadoras que circulan hoy en día tienen DDR2 y DDR3 en ellas a menos que sean computadoras viejas, esto incluye computadoras portátiles. DRAM se conoce como un tipo de memoria volátil, es la memoria de la computadora que requiere energía para mantener la información almacenada. Conserva su contenido mientras está encendido, pero cuando se interrumpe la energía, los datos almacenados se pierden rápidamente. Pero, ¿qué tan rápido se pierde?

En 2008, un grupo de investigadores quería ver la practicidad de extraer datos no encriptados de la memoria RAM en su computadora. Argumentaron que las DRAM usadas en la mayoría de las computadoras modernas retienen su contenido por segundos o minutos después de que se pierde la energía, incluso a temperaturas de funcionamiento e incluso si se retiran de una placa madre. Y al usar una herramienta de análisis, pudieron buscar los archivos clave (como las llaves PGP) almacenados en la RAM que podrían usarse para descifrar volúmenes encriptados (unidades) en su computadora. Con éxito pudieron descifrar volúmenes utilizando BitLocker, FileVault, dm-crypt y TrueCrypt. A continuación se muestra el resumen de su investigación.

Para que no olvidemos: ataques de arranque en frío en las claves de cifrado


Resumen: Contrariamente a lo que se suele suponer, las DRAM utilizadas en la mayoría de las computadoras modernas retienen su contenido por segundos o minutos después de que se pierde la energía, incluso a temperaturas de funcionamiento e incluso si se retiran de una placa base. Aunque las DRAM se vuelven menos confiables cuando no se actualizan, no se borran de inmediato, y su contenido persiste lo suficiente para la adquisición maliciosa (o forense) de imágenes de la memoria de sistema completo utilizables.

Mostramos que este fenómeno limita la capacidad de un sistema operativo para proteger el material de claves criptográficas de un atacante con acceso físico. Usamos reinicios en frío para montar ataques en los sistemas de encriptación de discos populares (BitLocker, FileVault, dm-crypt y TrueCrypt) sin usar dispositivos o materiales especiales. Experimentalmente caracterizamos el alcance y la predictibilidad de la remanencia de la memoria e informamos que los tiempos de remanencia se pueden aumentar drásticamente con técnicas simples.

Ofrecemos nuevos algoritmos para encontrar claves criptográficas en imágenes de memoria y para corregir errores causados por la disminución de bits. Aunque discutimos varias estrategias para mitigar parcialmente estos riesgos, no conocemos ningún remedio simple que los elimine.

Esto fue muy preocupante para la mayoría de la gente, y muchas personas se volvieron locas cuando se lanzó el documento de investigación en 2008 porque incluso las herramientas de encriptación difíciles como TrueCrypt podrían volverse inútiles con un ataque como este. Tras un análisis posterior del documento, quería señalar que utilizaron SDRAM, DDR y DDR2, y no DDR3 porque no estaba disponible en ese momento. Esto provocó que TrueCrypt lanzara la siguiente declaración en su sitio web.

Datos no encriptados en RAM


Es importante tener en cuenta que TrueCrypt es un software de cifrado de disco que encripta solo discos, no RAM (memoria).

Tenga en cuenta que la mayoría de los programas no borran el área de memoria (búferes) en la que almacenan archivos no encriptados (porciones de) que cargan desde un volumen TrueCrypt. Esto significa que después de salir de dicho programa, los datos no cifrados con los que trabajó pueden permanecer en la memoria (RAM) hasta que la computadora se apague (y, según algunos investigadores, incluso durante un tiempo después de que se apaga la alimentación *).

También tenga en cuenta que si abre un archivo almacenado en un volumen TrueCrypt, por ejemplo, en un editor de texto y luego fuerza el desmontaje en el volumen TrueCrypt, entonces el archivo permanecerá desencriptado en el área de memoria (RAM) utilizada por (asignado a) el editor de texto. Esto también se aplica al desmontaje automático forzado.

Intrínsecamente, las claves maestras no cifradas también deben almacenarse en la memoria RAM. Cuando se desmonta un volumen TrueCrypt no perteneciente al sistema, TrueCrypt borra sus claves maestras (almacenadas en la RAM). Cuando la computadora se reinicie limpiamente (o apague limpiamente), todos los volúmenes TrueCrypt que no pertenecen al sistema se desmontan automáticamente y, por lo tanto, todas las claves maestras almacenadas en la memoria RAM se borran mediante el controlador TrueCrypt (excepto las claves maestras para particiones / unidades del sistema; consulte a continuación ).

Sin embargo, cuando la fuente de alimentación se interrumpe abruptamente, cuando la computadora se reinicia (no se reinicia limpiamente) o cuando el sistema falla, TrueCrypt deja de funcionar de forma natural y, por lo tanto, no puede borrar ninguna clave ni ningún otro dato confidencial. Además, como Microsoft no proporciona ninguna API adecuada para manejar la hibernación y el apagado, las claves maestras utilizadas para el cifrado del sistema no se pueden borrar de manera confiable (y no se borran) de la memoria RAM cuando la computadora hiberna, se apaga o se reinicia. **

Para resumir, TrueCrypt no puede y no garantiza que la memoria RAM no contenga datos confidenciales (por ejemplo, contraseñas, claves maestras o datos descifrados). Por lo tanto, después de cada sesión en la que trabaja con un volumen TrueCrypt o en el que se ejecuta un sistema operativo encriptado, debe apagar (o, si el archivo de hibernación está encriptado, hibernar) la computadora y luego dejarla apagada por lo menos varios minutos (cuanto más, mejor) antes de volver a encenderlo. Esto es necesario para borrar la RAM.

    * Supuestamente, durante 1,5-35 segundos bajo temperaturas normales de funcionamiento (26-44 ° C) y hasta varias horas cuando los módulos de memoria se enfrían (cuando la computadora está funcionando) a temperaturas muy bajas (por ejemplo, -50 ° C). Se alega que los nuevos tipos de módulos de memoria exhiben un tiempo de desintegración mucho más corto (por ejemplo, 1,5-2,5 segundos) que los tipos anteriores (a partir de 2008).
    ** Antes de poder borrar una clave de la RAM, se debe desmontar el volumen TrueCrypt correspondiente. Para volúmenes que no son del sistema, esto no causa ningún problema. Sin embargo, dado que Microsoft actualmente no proporciona ninguna API adecuada para manejar la fase final del proceso de apagado del sistema, los archivos de paginación ubicados en volúmenes del sistema cifrados que se desmontan durante el proceso de apagado del sistema pueden contener páginas de memoria intercambiadas válidas (incluidas partes de Archivos del sistema de Windows). Esto podría causar errores de "pantalla azul". Por lo tanto, para evitar errores de 'pantalla azul',

TrueCrypt no desmonta los volúmenes del sistema cifrado y, en consecuencia, no puede borrar las claves maestras de los volúmenes del sistema cuando el sistema se apaga o se reinicia.

Algunos puntos clave para extraer de aquí son que el apagado correcto de su computadora reduce, si no completamente, este riesgo, excepto en el caso de los discos del sistema encriptados. Lo que se entiende por esto es, por ejemplo, si su sistema operativo principal es Windows y ha cifrado esa unidad, esta es su unidad del sistema y la clave maestra para esa unidad no se borra al apagar o reiniciar.

La solución es simplemente no almacenar nada sensible en el volumen de su sistema. Ya sea que utilice una unidad particionada o una memoria USB cifrada, solo asegúrese de que la unidad principal en la que se inicia no contenga datos confidenciales. Y si no tiene otra opción, necesita cifrar por separado los datos dentro del volumen del sistema con una frase de contraseña diferente y una clave privada para que, incluso si entran en el volumen de su sistema, no puedan acceder a los demás datos cifrados que desea proteger.

Pueden utilizar estas mismas técnicas para buscar los archivos de clave privada de PGP en la memoria RAM, por lo que esta es una amenaza muy real en el caso de que si su computadora todavía está encendida si vienen a buscarlo, pueden usar estas técnicas para recuperar datos de su computadora. Sin embargo, existe un debate sobre si este tipo de ataque puede persistir incluso ahora en 2019 con nuevos tipos de RAM. Señalo un blog al azar en línea y no hago ningún juicio sobre si este es un reclamo legítimo, pero de todos modos es interesante.

Citar

    Ahora para probar el ataque real de arranque en frío. Llene la memoria con alrededor de 1000 marcadores de manchas, solo para asegurarse de que haya suficiente.

    Ahora cierra. Ostensiblemente, los marcadores podrían ser reconocibles en la memoria RAM después de unos minutos, pero estoy impaciente, así que solo esperé 10 segundos para la primera prueba. Arranque, en la instalación mínima de Linux. Cargue el módulo kernel: insmod ./rmem.ko. Ejecutar cazador.

    Nada.

    Eso está bien, sin embargo. Debería haber al menos alguna corrupción de datos. El tamaño del marcador predeterminado es de 128 bytes, así que establezcamos la distancia hamming en 128, lo que significa que un bit de cada byte puede voltearse. (Estadísticamente, eso equivale a una tasa de corrupción del 25%, ya que un bit dañado tiene un 50% de posibilidades de permanecer igual).

    Nada.

    Parece que en 10 segundos, la memoria estaba completamente corrupta. Probemos un intervalo más corto: 2 segundos. Mismos resultados No queda nada de nuestra "clave de cifrado".

  •    bytbox.net/: Ya no existe.
El usuario afirmaba estar usando un tipo de RAM más nuevo llamado DDR3 . que se sabe que mantiene la memoria por un tiempo mucho más corto que DDR2. Y un nuevo trabajo de investigación publicado en septiembre de 2013 intentó reproducir los hallazgos de la investigación de 2008 pero usando computadoras con DDR1, DDR2 y DDR3 y sus hallazgos fueron interesantes.

A pesar de que una máquina de destino utiliza cifrado de disco completo, los ataques de arranque en frío pueden recuperar datos no encriptados de la RAM. Los ataques de arranque en frío se basan en el efecto de remanencia de la memoria RAM, que dice que los contenidos de la memoria no desaparecen inmediatamente después de cortar la corriente, sino que se desvanecen gradualmente con el tiempo.

Este efecto se puede aprovechar reiniciando una máquina en ejecución, o trasplantando sus chips RAM en una máquina de análisis que lea lo que queda en la memoria. En teoría, este tipo de ataque se conoce desde la década de 1990. Sin embargo, solo en 2008, Halderman et al. han demostrado que los ataques de arranque en frío se pueden implementar bien en escenarios prácticos.

En el trabajo en cuestión, investigamos la viabilidad de los ataques de arranque en frío. Verificamos las afirmaciones de Halderman et al. independientemente de forma sistemática. Para DDR1 y DDR2 , proporcionamos los resultados de nuestras mediciones experimentales que en gran parte concuerdan con los resultados originales. Sin embargo, también señalamos que no pudimos reproducir los ataques de arranque en frío contra los modernos chips DDR3. Nuestro conjunto de pruebas comprende 17 sistemas y configuraciones de sistema, de las cuales 5 están basadas en DDR3.

Entonces, ¿qué deberías hacer? Número uno, apague siempre su computadora cuando no esté cerca de ella o colóquela en modo de hibernación; de lo contrario, sus documentos confidenciales podrían permanecer en su memoria RAM. Simplemente bloquear la pantalla no te servirá de nada. Asegúrese de que su computadora esté usando un tipo de RAM DDR3, si es posible. Algunos de ustedes esto significa que necesitan actualizarse.

Si no está seguro del tipo de RAM que tiene su computadora, busque en línea para encontrar una herramienta que lo detecte por usted. Nunca almacene nada sensible en un volumen cifrado del sistema , ya que este ataque puede usarse para entrar en el volumen y cualquier elemento no cifrado puede recuperarse. Si está usando una computadora portátil, extraiga la batería para que, si necesita extraerla rápidamente, la apague de inmediato. Si tiene tiempo, apague la computadora; de lo contrario, apáguela inmediatamente para que no se ejecute. Cuanto más tiempo puede perder, son preciosos segundos en los que no pueden recuperar ningún dato. Así que apague inmediatamente las cosas si no tiene tiempo suficiente para hacer un apagado correcto.

Considere poner un candado en la carcasa de su computadora, y si quiere ir un paso más allá, atorníllelo al piso. De esta forma, la cantidad de tiempo que tardarían en ingresar a su computadora desperdiciaría valiosos minutos y más que probable que inutilice cualquier memoria recuperable. Algunas personas incluso han sugerido que sueldes la memoria RAM en la placa base para que no puedan sacarla. Esto puede ayudar a ralentizar las cosas, pero recuerde que enfriar la memoria puede conservar las cosas por bastante tiempo si está usando DDR1 o DDR2. Con DDR3, deberías estar listo y creo que con esta comprensión, los fabricantes probablemente comenzarán a buscar formas de cifrar la RAM, pero hasta ese momento debes ser consciente de esto como un medio posible para robar tus datos confidenciales y algo debe mantenerse en el fondo de su mente y prepararse por si acaso.

Cookies y jаvascript y otros seguimientos de navegador (Volver) | La fuerza de la criptografia y la anonima cuando se utiliza correctamente= Seguir leyendo

Te sugiero seguir leyendo...


  • Autor:
  • Editor: Tutoriales En Linea
  • Fecha:2019-12-20
  • Categorias: Encriptacion Ordenador Noticias Tutorial

Ataques de arranque en frió, extracción de RAM no conectada
Ataques de arranque en frió, extracción de RAM no conectada Ataques de arranque en frió, extracción de RAM no conectada...
Tutoriales en linea




Información
Usuarios que no esten registrados no pueden dejar comentarios, te invitamos a que te registre!






Cómo espiar Facebook y obtener la cuenta de alguien

  • Autor:
  • Editor: Tutoriales En Linea
  • Fecha:2020-06-23
  • Categorias: Android Redes Sociales Facebook Noticias Tutorial

Saber si te han hackeado

  • Autor:
  • Editor: Tutoriales En Linea
  • Fecha:2020-06-16
  • Categorias: Redes Sociales hacker Noticias Tutorial

Mejoras en los graficos y tablas en Google App

  • Autor:
  • Editor: Tutoriales En Linea
  • Fecha:2020-06-14
  • Categorias: Google Apps Herramientas Ofimaticas Noticias Tutorial

Access desde cero

  • Autor:
  • Editor: Tutoriales En Linea
  • Fecha:2020-06-14
  • Categorias: Herramientas Ofimaticas Microsoft Cursos Noticias Tutorial

Curso de CSS avanzado

  • Autor:
  • Editor: Tutoriales En Linea
  • Fecha:2020-01-18
  • Categorias: Diseño Web CSS3 html5 Html Cursos Noticias Tutorial

Curso de Introducción a CSS

  • Autor:
  • Editor: Tutoriales En Linea
  • Fecha:2020-01-18
  • Categorias: Diseño Web CSS3 WebSite webmasters Cursos Noticias Tutorial