Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Klient poprosił nas o sprawdzenie, czy da się odszyfrować komputer, do którego mamy fizyczny dostęp. Udało się i publikujemy pełen raport z całości prac (za zgodą klienta) – atak cold boot.
TLDR: raport tutaj.
Zwykle podczas utwardzania (ang. hardeningu) naszych maszyn powinniśmy pamiętać o włączeniu pełnego szyfrowania dysku oraz o mocnym haśle (min. 15 znaków). Mimo to istnieją sposoby, które atakujący mógłby wykorzystać, aby próbować przełamać te zabezpieczenia. Jednym z nich jest chociażby atak słownikowy (ang. dictionary attack). Natomiast do szczególnie skutecznych technik, o której często się mówi przy okazji mechanizmów szyfrowania dysków FDE (ang. Full Disk Encryption), należy Cold Boot Attack. Atak, który przez wielu jest uznawany za już niestosowany, wręcz egzotyczny, jednak wciąż stanowi zagrożenie dla naszych danych. Jest to technika wykorzystywana w celu uzyskania dostępu do danych przechowywanych w pamięci RAM (ang. Random Access Memory) komputera, nawet po jego wyłączeniu lub zresetowaniu. W tym ataku wykorzystujemy fakt, iż, wbrew powszechnemu mitowi, dane w pamięci RAM nie znikają od razu po odłączeniu zasilania, a jedynie ulatują z czasem. W rzeczywistości im mniejsza temperatura pamięci operacyjnej, tym dłuższy czas zanikania danych.
4 kwietnia 2024 r. pokażemy „na żywo”, jak przeprowadzić atak Cold Boot na współczesnym komputerze i obejdziemy zabezpieczenie Full Disk Encryption na przykładzie BitLockera. Przedstawimy zasadę działania mechanizmów FDE, pamięci RAM DDR4, a także scharakteryzujemy ograniczenia tej metody. Co najważniejsze, zaprezentujemy, jak można się bronić przed takimi atakami i na co należy zwracać uwagę przy konfiguracji systemu.
Cena to tylko 39 zł brutto z kodem: cold
W przeprowadzeniu ataku Cold Boot idealnie mógłby się sprawdzić ciekły azot, ale ten nie jest powszechnie dostępny w sklepie. Z tego powodu najprostszym sposobem na przeprowadzenie Cold Boot Attack jest wykorzystanie dostępnych narzędzi, takich jak sprężone powietrze w puszce. Na opakowaniu tego produktu znajduje się informacja, aby nie używać go w pozycji „do góry nogami”, ale w tym przypadku jest to bardzo przydatny atut 🙂
Na początku tego roku zgłosił się do Securitum klient z branży medycznej. Zależało mu na przeprowadzeniu testu jego konfiguracji szyfrowania LUKS (Linux Unified Key Setup) i wykonaniu analizy ryzyka z uwzględnieniem jak największej liczby przypadków, w których atakujący z fizycznym dostępem do maszyny mógłby uzyskać akces do ich poufnych algorytmów znajdujących się na zaszyfrowanej partycji dysku.
Wynikiem tego testu penetracyjnego jest nasz najświeższy, publiczny raport, który możesz znaleźć tutaj. W materiale, oprócz opisu samego ataku Cold Boot, znajdziesz również informacje o tym, jak przebiega proces Secure Boot w UEFI oraz jak można wykorzystać niewłaściwą konfigurację modułu TPM2 do obejścia pełnego szyfrowania dysku.
Atak przedstawiony w raporcie został przeprowadzony na komputerze wyposażonym w klasyczny BIOS, a nie UEFI. UEFI domyślnie w swoim standardzie wspiera funkcję, która na wczesnym etapie rozruchu wypełnia pamięć RAM losowymi danymi, aby utrudnić przeprowadzenie takiego ataku. Nie wyklucza to jednak scenariusza, w którym atakujący mógłby przenieść zamrożoną pamięć do innego komputera, który takiego zabezpieczenia nie ma.
Atak Cold Boot, mimo postępu technologicznego i stosowania nowoczesnych pamięci DDR4/5 oraz zabezpieczeń UEFI, nadal jest możliwy do przeprowadzenia na współczesnym sprzęcie. Chociaż czas retencji danych w pamięci RAM może być krótszy, istnieje ryzyko odzyskania kluczowych informacji, takich jak hasła czy klucze szyfrowania. Ochrona przed atakami tego typu wymaga zastosowania dodatkowych środków bezpieczeństwa, takich jak kontrola dostępu fizycznego do sprzętu.
Jeżeli chcesz poznać więcej szczegółów technicznych oraz zobaczyć, jak cały atak przebiega na żywo, wraz z analizą, zapraszamy Cię na pokaz, który odbędzie się już w następny czwartek 4 kwietnia 2024 r.
Zapisy tutaj: https://sklep.securitum.pl/atak-cold-boot-na-zywo
Mateusz Lewczak
Czy MacBooki z układami scalonymi Apple są odporne na atak cold boot?
są bezpieczni bo firma tak twierdzi xD a pozniej wyjdzie:
Setki milionów iPhonów z luką, której Apple nie jest w stanie załatać
29 wrz 2019 — Exploit w iOS
xD
Tak samo przecież z procesorami M1/M2 i prawdopodobnie M3. Okazało się, że mają lukę, która pozwala na odczyt pamięci procesora niezaszyfrowanej.
Czy te obejście Full Disk Encryption na przykładzie BitLockera to będzie nadal przykład z TPM ? :(
Czy pokażecie to na przykładzie konfiguracji bez TPM ?
No właśnie… Używanie TPMa w systemach, które chcemy by były bezpieczne? To jak używanie szyfrowania sprzętowego w dyskach…
Możesz rozwinąć swoją myśl?
Czy laptop (UEFI) zaszyfrowany VeraCrypt z wyłączonym uśpieniem oraz (Włącz szybkie uruchamianie) – który przejdzie w tryb hibernacji (trzeba wpisać hasło VeraCrypt) jest podatny na atak cold boot?
Trzeba mieć wlutowany ram i wyłączone bootowanie z innych nośników
Co to jest oprogramowanie pokładowe? Moglibyście przestać używać automatycznych translatorów. Albo przynajmniej czytać to to co wyplują przed skopiowaniem. Zresztą to samo jest w ostatniej waszej książce. Strasznie ciężko się potem taki bełkot czyta.
Gwoli wyjaśnienia. Tzw „sprężone powietrze w puszce” sprężonym powietrzem nie jest, to propan-butan taki sam jak do zapalniczek…
W nadmiarze w zamkniętym pomieszczeniu może doprowadzić do wybuchu.
Piszę bo wiele osób daje się zwieść że to powietrze, a jak powietrze to przecież niepalne…
Czyli laptop z wlutowanym RAM to nie utrudnienie dla użytkownika ale dbanie o jego bezpieczeństwo:D
Czyli dalej tylko teoretycznie w większości przypadków.
oczywiście już zwariowali 🤣 na tych komputerach że tak się chcecie zabezpieczyć? naprawdę dramat, jeszcze kto widział żeby walić przy włączonych pamięciach sprężonym powietrzem w celu schłodzenia przecież to zaraz zwarcie się zrobi chuj to strzeli…
Bardzo fajny materiał – szacun. Naprawdę.
Nie zgodzę się jednak ze stwierdzeniem, że współistnienie Secure Boot i Luks nie jest możliwe (chyba, że coś innego mieliście na myśli pisząc self-encrypting drives). Przygotowywałem w 2020 komputery z Linux dla programistów pracujących w domenie Windows i musiały być zabezpieczone, zarządzane (użytkownicy, uprawnienia, role, grupy itp.) z domeny, szyfrowane z wykorzystaniem TPM2 itd. To wszystko na poziomie maszyny z Windows i Bitlockerem. Ja jeszcze w swoim przypadku wykorzystałem mechanizm który blokował uruchomienie jak laptop został rozkręcony – ustawiany PCR poprzez BIOS i sprawdzany w trakcie bootowania. Do tego TPM był skonfigurowany niefabrycznie i były użyte customowe skrypty. TPM używaliśmy jeszcze w innym miejscu jako taki mały HSM z wykorzystaniem do tematów finansowych – enkrypcja, hashowanie itp. z własnymi kluczami z PKI. Długo by pisać – projekt zajął 3 miesiące. Czy dałoby się tam włamać? Ja chyba bym nie potrafił mimo, że to zbudowałem. Lipy nie mogło być, bo corocznie była certyfikacja PCI DSS.