Cold Boot: método que permite sustraer información de discos cifrados

Una investigación de la firma de seguridad informática F-Secure ha revelado que una gran parte de los ordenadores modernos tienen un error que permite robar claves de cifrado, entre otros datos confidenciales.

En su informe, F-Secure asegura que logró revivir un ataque llamado Cold Boot, que apareció por primera vez hace una década y que implica el robo de datos de usuarios mientras se ejecuta el proceso de reinicio del ordenador. En este sentido, los expertos advierten que la mayoría de los ordenadores modernos y actuales son vulnerables a este fallo.

El ataque "Cold Boot" o de "Inicio en frío"es un ataque que se descubrió hace una década y que permitiría a un atacante con acceso físico a una máquina robar claves de cifrado entre otra información sensible. Este ataque consistía en reiniciar el ordenador sin en proceso adecuado de apagado, lo que podría permitir recuperar los datos existentes en la memoria RAM antes de que sean eliminados.

Cold Boot Attack es un ataque conocido por los hackers desde el año 2008, y su activación consiste en reiniciar un ordenador sin aplicar un adecuado proceso de apagado del equipo, y posteriormente ejecutar un análisis de los datos residuales que están brevemente alojados en la RAM del ordenador. A pesar de que casi todas las portátiles de la actualidad fueron diseñadas para realizar el proceso de sobreescritura de estos datos de manera predeterminada, F-Secure afirma que ha logrado deshabilitar dicha función.

Por su parte, los investigadores han advertido que este ataque podría poner en riesgo a diversas entidades corporativas, que pueden sufrir una pérdida de sus datos confidenciales en ordenadores extraviados o reemplazados. De hecho, aseguran que las medidas de seguridad que existen en la actualidad no son suficientes para hacerle frente a este exploit.

En la publicación se revela además que pese a que Cold Boot Attack necesita la realización de una serie de pasos para su ejecución, está comprobado que es un ataque totalmente efectivo en ordenadores portátiles lanzados recientemente. Asimismo, asegura que el hecho de que este exploit sea aprovechado mayormente en ordenadores perdidos o robados, los atacantes cuentan con bastante tiempo para realizar el ataque.

Finalmente, la firma destacó la necesidad de hacer inválidas las credenciales de acceso cuando se considere robado o perdido un equipo, e incluso cuando se haya dejado de utilizar. Además, se recomendó a las empresas habilitar el modo de hibernación de manera automática en los ordenadores en lugar del modo de suspensión cuando no se esté utilizando. De igual forma, sugirieron exigir a los empleados proporcionar un PIN de BitLocker de un sistema cifrado cada vez que la máquina sea iniciada.

Los investigadores notificaron sobre el exploit a Apple y a Microsoft, ya que el mismo afecta a ordenadores Mac y PC por igual. En este sentido, el gigante de Redmond actualizó su guía de BitLocker y Apple afirmó que los ordenadores con el chip T2 son vulnerables a Cold Boot.

A continuación un video demostrando el problema:
El error ha sido presentado en la conferencia SEC-T en Suecia, y el próximo día 27, volverán a hacer una presentación en la conferencia de Microsoft BlueHat v18.


Fuente: Tekcrispy