Klient poprosił nas o sprawdzenie, czy da się odszyfrować komputer, do którego mamy fizyczny dostęp. Udało się i publikujemy pełen raport z całości prac (za zgodą klienta) – atak cold boot.

TLDR: raport tutaj.

Zwykle podczas utwardzania (ang. hardeningu) naszych maszyn powinniśmy pamiętać o włączeniu pełnego szyfrowania dysku oraz o mocnym haśle (min. 15 znaków). Mimo to istnieją sposoby, które atakujący mógłby wykorzystać, aby próbować przełamać te zabezpieczenia. Jednym z nich jest chociażby atak słownikowy (ang. dictionary attack). Natomiast do szczególnie skutecznych technik, o której często się mówi przy okazji mechanizmów szyfrowania dysków FDE (ang. Full Disk Encryption), należy Cold Boot Attack. Atak, który przez wielu jest uznawany za już niestosowany, wręcz egzotyczny, jednak wciąż stanowi zagrożenie dla naszych danych. Jest to technika wykorzystywana w celu uzyskania dostępu do danych przechowywanych w pamięci RAM (ang. Random Access Memory) komputera, nawet po jego wyłączeniu lub zresetowaniu. W tym ataku wykorzystujemy fakt, iż, wbrew powszechnemu mitowi, dane w pamięci RAM nie znikają od razu po odłączeniu zasilania, a jedynie ulatują z czasem. W rzeczywistości im mniejsza temperatura pamięci operacyjnej, tym dłuższy czas zanikania danych.

W przeprowadzeniu ataku Cold Boot idealnie mógłby się sprawdzić ciekły azot, ale ten nie jest powszechnie dostępny w sklepie. Z tego powodu najprostszym sposobem na przeprowadzenie Cold Boot Attack jest wykorzystanie dostępnych narzędzi, takich jak sprężone powietrze w puszce. Na opakowaniu tego produktu znajduje się informacja, aby nie używać go w pozycji „do góry nogami”, ale w tym przypadku jest to bardzo przydatny atut 🙂

Na początku tego roku zgłosił się do Securitum klient z branży medycznej. Zależało mu na przeprowadzeniu testu jego konfiguracji szyfrowania LUKS (Linux Unified Key Setup) i wykonaniu analizy ryzyka z uwzględnieniem jak największej liczby przypadków, w których atakujący z fizycznym dostępem do maszyny mógłby uzyskać akces do ich poufnych algorytmów znajdujących się na zaszyfrowanej partycji dysku.

Wynikiem tego testu penetracyjnego jest nasz najświeższy, publiczny raport, który możesz znaleźć tutaj. W materiale, oprócz opisu samego ataku Cold Boot, znajdziesz również informacje o tym, jak przebiega proces Secure Boot w UEFI oraz jak można wykorzystać niewłaściwą konfigurację modułu TPM2 do obejścia pełnego szyfrowania dysku.

Atak przedstawiony w raporcie został przeprowadzony na komputerze wyposażonym w klasyczny BIOS, a nie UEFI. UEFI domyślnie w swoim standardzie wspiera funkcję, która na wczesnym etapie rozruchu wypełnia pamięć RAM losowymi danymi, aby utrudnić przeprowadzenie takiego ataku. Nie wyklucza to jednak scenariusza, w którym atakujący mógłby przenieść zamrożoną pamięć do innego komputera, który takiego zabezpieczenia nie ma.

Atak Cold Boot, mimo postępu technologicznego i stosowania nowoczesnych pamięci DDR4/5 oraz zabezpieczeń UEFI, nadal jest możliwy do przeprowadzenia na współczesnym sprzęcie. Chociaż czas retencji danych w pamięci RAM może być krótszy, istnieje ryzyko odzyskania kluczowych informacji, takich jak hasła czy klucze szyfrowania. Ochrona przed atakami tego typu wymaga zastosowania dodatkowych środków bezpieczeństwa, takich jak kontrola dostępu fizycznego do sprzętu.

Jeżeli chcesz poznać więcej szczegółów technicznych oraz zobaczyć, jak cały atak przebiega na żywo, wraz z analizą, zapraszamy Cię na pokaz, który odbędzie się już w następny czwartek 4 kwietnia 2024 r.

Zapisy tutaj: https://sklep.securitum.pl/atak-cold-boot-na-zywo

Mateusz Lewczak