NEW RESEARCH: The Chilling Reality of Cold Boot Attacks https://t.co/r14cDD8M1O pic.twitter.com/P7ZJtQJeOF
— F-Secure (@FSecure) 13 de setembro de 2018
O principal consultor de segurança da F-Secure, Olle Segerdahl, e seu colega Pasi Saarinen descobriram um novo modo de invadir computadores, com um método que, segundo eles, funciona contra quase todos os computadores, incluindo notebooks da Dell, Lenovo e até da Apple. A principal descoberta da pesquisa é que o “sleep mode” é vulnerável. Eles apresentaram os resultados da pesquisa hoje em Estocolmo, na conferência SEC-T. O segredo está no modo pelo qual os computadores protegem o firmware: os pesquisadores dizem que quem conseguir pôr as mãos no computador pode explorar essa fragilidade e dar boot, podendo roubar as chaves de criptografia e outras informações confidenciais.
Há informação mesmo depois que a bateria é removida
Esse ataque de boot a frio foi desenvolvido em 2008. Os pesquisadores na época descobriram que era possível pegar informação que ainda ficava nas memórias mesmo depois que a força era desligada – mesmo que a bateria de um notebook fosse removida. Depois disso, foram tomadas providências para evitar esse tipo de ataque e a principal é limpar as memórias, sobrescrevendo tudo o que havia nelas.
No entanto, usando uma ferramenta simples os pesquisadores Olle e Pasi conseguiram reescrever as instruções no chip de memória não-volátil que contém essas configurações, desabilitar a sobrescrita de memória e ativar a inicialização a partir de dispositivos externos. Com isso, pode ser feito o boot a partir de um pen drive e pronto: o PC está invadido.
Olle admite que isso não é fácil de fazer, mas haverá gente interessada em se aproveitar dessa falha. “Não é para quem procura alvos fáceis. Mas quem procura ‘peixes’ maiores, como um banco ou uma grande empresa, saberá como usar. ” O pesquisador acha que não há uma solução fácil disponível para os fornecedores de PCs, e por isso é algo que as empresas e os usuários finais terão de resolver sozinhos. No mínimo desligando seus PCs do jeito certo.
Olle e Pasi recomendam que os departamentos de TI configurem todos os computadores da empresa para desligar ou hibernar (não entrar no modo de suspensão ou sleep) e exigir que os usuários insiram seu PIN sempre que ligarem ou restaurarem seus computadores.