Quando se fala em segurança da informação, é comum ter um certo descaso no que tange à segurança física dos ativos de uma empresa. O ataque de cold boot é um exemplo de investida que pode ser usada em ataques envolvendo ambientes cuja segurança física deixe a desejar. Apesar de ser considerada um ataque, seu uso mais comum é em casos de investigações forenses. Mas afinal, o que é o cold boot ?

O cold boot é um termo usado para se referir à limpeza (não física) total da memória RAM de um sistema computacional, que se faz reiniciando o computador . Normalmente esse reparo é feito para corrigir pequenos erros de inicialização de aplicativos, falhas de processos ou qualquer semelhante que cause uma falha ou travamento repentino do sistema operacional.

Fonte: Google Imagens

COMO A TÉCNICA FUNCIONA

Essa técnica consiste na extração dos dados armazenados na memória RAM do computador, ou seja, um dump (despejo) de memória. A memória RAM (Random Access Memory) é uma parte da arquitetura do computador responsável pelo armazenamento do sistema operacional, dos processos, variáveis dos programas e todo tipo de dado que é processado pela CPU. Isso significa que tudo o que digitamos, acessamos e consumimos fica armazenado temporariamente na memória (inclusive senhas de criptografia) e só é perdido quando sobrescrito ou quando a memória deixa de ser abastecida com energia elétrica.

Um ponto importante de mencionar é que diferentemente do conto popular, a memória RAM não perde os dados imediatamente após o desligamento do computador. A depender de algumas variáveis, os dados podem permanecer por alguns poucos segundos em seus chips até se perderem completamente. Uma das variáveis mais importantes é a entropia.

Como mencionado acima, a entropia é determinante no tempo de perda dos dados da memória e pode ser definida resumidamente como uma grandeza termodinâmica que é usada para medir o grau de "desordem" de um sistema. Em outras palavras, a informação lógica armazenada na memória RAM é perdida completamente em forma de dissipação térmica e por isso ela é volátil. Para nosso fim, basta saber que quanto maior a dispersão de temperatura, maior será o grau de entropia do sistema, e portanto, maior a perda de informações.

Sabendo disso, várias técnicas foram criadas para aumentar o tempo de vida das informações na memória. A mais utilizada sem sombras de dúvidas é a utilização de nitrogênio líquido para congelar os chips de memória e assim impedir a degeneração de seus estados lógicos, preservando os bits e possibilitando um dump mais eficiente.

PRINCIPAIS FORMAS DE USO DO ATAQUE

Como mencionado acima, esse tipo de ataque é muito comum em técnicas de investigação forense, mas também é usado quando há alguma brexa de segurança que possibilita o uso dessa técnica. Para melhor elucidar vamos citar dois cenários possiveis de uso da técnica.

Cenário 1: Ataque ao usuário

Imagine que um atacante está infiltrado e estudando uma mega empresa corporativa. Após algumas semanas de observação, descobre que é comum que usuários de alto cargo executivo deixam seus computadores ligados mesmo após saírem para o horários de almoço em suas sala que ficam vazias sem uso de fechaduras adequadas e sem qualquer tipo de câmera.

O cibercriminoso se prepara para o ataque e quando entra em contato com o computador da vítima percebe que o computador embora ligado está com bloqueio de usuário. Infelizmente para a empresa, o criminoso é uma especialista e já contava com esse tipo de defesa básica do sistema e portava consigo um pendrive específico para realizar extrações de memória e realiza todo o procedimento.

Após esse ataque o criminoso percebe que concluiu com exito seu ataque conseguiu informações como credenciais de e-mail e partes de informações confidenciais que poderão ser usadas em um futuro ataque de phishing.

Fonte: Google Imagens

Cenário 2: Forense digital

Agora é necessário imaginar o caso de um criminoso digital que não tomou todas as precauções necessárias para o completo anonimato e começou a ser seguido por investigadores digitais de oŕgãos federais.

Após muito trabalho os policiais conseguem um madato de busca e apreenção para a casa do até então suposto criminoso. Assim que chegam na residência percebem que quem atende é uma senhora comum que parece não entender a situação. Os agentes explicam a situação e entram silenciosamente na casa sem serem notados pelo verdadeiro criminoso, que está em seu quarto no computador.

Assim que os agentes entram pela porta, o criminoso já entendendo tudo que está acontecendo desliga rapidamente o computador da tomada pois sabe que seu disco está totalmente encriptado e dificilmente agente conseguiriam quebrar tal criptografia. Entretanto, o que o jovem não esperava é a rápida ação de um dos agente federais em utilizar um spray congelando as memórias e plugando um pendrive em seu computador.

Horas depois, o criminoso foi comunicado que seria preso em flagrante com provas indiscutíveis com seu envolvimento em crimes digitais .

Fonte: Google Imagens

PASSOS DO ATAQUE

Para a realização do ataque, é preciso o uso de um pendrive com um sistema operacional extremamente enxuto e especializado para essa tarefa. Isso fica evidente pois quanto menor o sistema, menor a quantidade de dados sobrescritos na memória.

Tendo o pendrive em mãos, é preciso:

1. Aplicar a solução congelante nas memórias;

2. Injetar o pendrive na máquina;

3. Entrar na BIOS/UEFI do computador e selecionar o pendrive como boot primário;

4. Executar o sistema e realizar o dump das informações.

Existem variáveis desse ataque que se fazem em cenários adversos e específicos, mas esse cumpre com o objetivo de tornar claro bem como funciona.

Fonte: Google Imagens

COMO SE PROTEGER

Referências

Sistemas operacionais modernos - Tanenbaum https://citp.princeton.edu/our-work/memory/ https://www.sciencedirect.com/topics/computer-science/cold-boot-attack

https://securitytoday.com/articles/2018/10/16/cold-boot-attack.aspx https://www.todamateria.com.br/entropia/