Electronic Frontier Foundation a anunţat că o echipă de cercetători, inclusiv Seth Schoen, au descoperit o vulnerabilitate în tehnologiile de criptare a discurilor, inclusiv în BitLocker, de la Microsoft, în TrueCrypt, dm-crypt şi File Vault, de la Apple.
Schoen şi colegii săi au precizat că, dacă un computer este într-unul din modurile screen-locked, sleep sau hibernation, un atacator poate trece peste criptarea discului, prin simpla închidere şi reboot-are rapidă de pe un hard extern.
DRAM are tendinţa de a reţine datele pentru aproximativ un minut după închiderea dispozitivului. Când un computer aflat în modul sleep este boot-at de la buton, cheile de criptare rămân în memorie şi pot fi luate.
Astfel, computerele aflate în stand-by sunt vulnerabile chiar şi dacă nu sunt accesate pentru câteva minute. „Să spunem că ne aflăm într-o cafenea şi lăsăm notebook-ul aflat în modul screen-loked, pe o masă, în vreme ce mergem la toaletă. Tot ce ar trebui să facă un atacator ar fi să forţeze o reboot-are a sistemului de pe un dispozitiv cu mufă USB, cu soft-ul nostru personalizat, pentru a ocoli BitLocker”, a spus cercetătorul Jacob Appelbaum. Acest software se numeşte BitUnlocker şi poate fi văzut acţionând aici.
Cu anumite tipuri de DRAM, o simplă boot-are de la buton nu ar fi suficientă. Dar cercetătorii au demonstrat că rata de reţinere poate fi extinsă prin răcirea rapidă a memoriei. Tot ce a trebuit să facă Applebaum a fost să deschidă carcasa şi să pulverizeze puţin nitrogen lichid în interior.
Dacă BitLocker este utilizat împreună cu TPM (trust platform module), ar putea însemna că respectivul sistem este şi mai vulnerabil la un atac cu acelaşi soft. „Când un computer boot-ează, scoate imediat cheile de criptare din TPM şi le pune în memorie”, a spus Appelbaum. Cu alte cuvinte, dacă se foloseşte TPM, sistemul poate fi păcălit, chiar dacă a fost deja închis.
Niciun comentariu:
Trimiteți un comentariu