Nueva variante de un "Cold Boot Attack" desbloquea discos encriptados en casi todos los PC Modernos



Los investigadores de seguridad han revelado un nuevo ataque para robar contraseñas, claves de encriptación y otra información sensible almacenada en la mayoría de las computadoras modernas, incluso aquellas con cifrado de disco completo.

El ataque es una nueva variación de un ataque de arranque en frío tradicional, que está disponible desde 2008 y permite a los atacantes robar información que permanece brevemente en la memoria (RAM) después de que se apaga la computadora.
Sin embargo, para que los ataques de arranque en frío sean menos efectivos, la mayoría de las computadoras modernas vienen con protección, creada por Trusted Computing Group (TCG), que sobrescribe el contenido de la RAM cuando el PC se enciende, previniendo que se pueda leer la información.

Y ahí es donde entra la investigación de Olle y Pasi. Los dos expertos descubrieron una forma de desactivar esta característica de sobreescritura al manipular físicamente el hardware de la computadora. Usando una herramienta simple, Olle y Pasi aprendieron cómo reescribir el chip de memoria no volátil que contiene estos ajustes, deshabilitar la sobrescritura de memoria y habilitar el arranque desde dispositivos externos. Los ataques de arranque en frío pueden llevarse a cabo arrancando un programa especial desde un dispositivo USB.


Según Olle y su colega Pasi Saarinen, se cree que su nueva técnica de ataque es efectiva contra casi todas las computadoras modernas e incluso Apple Mac y que no se puede reparar fácil y rápidamente.
Los dos investigadores, que presentarán hoy sus hallazgos en una conferencia de seguridad, afirman que ya compartieron sus hallazgos con Microsoft, Intel y Apple, y los ayudaron a explorar posibles estrategias de mitigación.

Microsoft actualizó su guía sobre las contramedidas de Bitlocker en respuesta a los hallazgos de F-Secure, mientras que Apple dijo que sus dispositivos Mac equipados con un chip T2 de Apple contienen medidas de seguridad diseñadas para proteger a sus usuarios contra este ataque.

Olle y Pasi recomiendan que los departamentos de TI configuren todas las computadoras de la compañía para que se apaguen o hibernen (no ingresen al modo de suspensión) y requieren que los usuarios ingresen su PIN de Bitlocker cada vez que encienden o restauran sus computadoras. Esto es especialmente importante para los ejecutivos de la compañía (u otros empleados con acceso a información confidencial) y los empleados que viajan (que es más probable que dejen sus computadoras portátiles en habitaciones de hoteles, taxis, restaurantes o aeropuertos).

Un atacante aún podría realizar un ataque de arranque en frío exitoso contra máquinas configuradas de esta manera. Pero las claves de cifrado no se almacenan en la memoria RAM cuando una máquina hiberna o se apaga. Entonces, no hay información valiosa para que un atacante robe.