29Jun
Los geeks a menudo consideran que el cifrado es una herramienta infalible para garantizar que los datos permanezcan en secreto. Pero, ya sea que encripte el disco duro de su computadora o el almacenamiento de su teléfono inteligente, es posible que se sorprenda al saber que el cifrado puede pasarse por alto a bajas temperaturas.
Es poco probable que su cifrado personal se eluda de esta manera, pero esta vulnerabilidad podría ser utilizada para el espionaje corporativo, o por los gobiernos para acceder a los datos de los sospechosos si el sospechoso se niega a revelar la clave de cifrado.
Cómo funciona el cifrado de disco completo
Ya sea que esté utilizando BitLocker para cifrar su sistema de archivos Windows, la función de cifrado incorporada de Android para cifrar el almacenamiento de su teléfono inteligente o cualquier cantidad de otras soluciones de cifrado de disco completo, cada tipo de solución de cifrado funcionasimilar.
Los datos se almacenan en el almacenamiento de su dispositivo de forma encriptada, aparentemente codificada. Cuando inicia su computadora o teléfono inteligente, se le solicita la frase de cifrado. El dispositivo almacena la clave de cifrado en su RAM y la utiliza para cifrar y descifrar datos mientras el dispositivo permanezca encendido.
Suponiendo que tiene una contraseña de bloqueo de pantalla configurada en su dispositivo y los atacantes no pueden adivinarla, deberán reiniciar su dispositivo e iniciar desde otro dispositivo( como una unidad flash USB) para acceder a sus datos. Sin embargo, cuando su dispositivo se apaga, el contenido de su memoria RAM desaparece muy rápidamente. Cuando el contenido de la memoria RAM desaparece, la clave de cifrado se pierde y los atacantes necesitarán su frase de cifrado para descifrar sus datos.
Así es como generalmente se supone que el cifrado funciona, y es la razón por la cual las corporaciones inteligentes cifran computadoras portátiles y teléfonos inteligentes con datos confidenciales. Remanencia de datos de
en
de RAM Como mencionamos anteriormente, los datos desaparecen de la RAM muy rápidamente después de que la computadora se apaga y la RAM pierde potencia. Un atacante podría intentar reiniciar rápidamente una computadora portátil encriptada, iniciar desde un dispositivo USB y ejecutar una herramienta que copie el contenido de la memoria RAM para extraer la clave de cifrado. Sin embargo, esto normalmente no funcionaría. El contenido de la RAM desaparecerá en cuestión de segundos y el atacante no tendrá suerte.
El tiempo que tardan los datos en desaparecer de la memoria RAM se puede ampliar de manera significativa al enfriar la RAM.Los investigadores han llevado a cabo ataques exitosos contra computadoras usando el cifrado BitLocker de Microsoft rociando una lata de aire comprimido boca abajo en la memoria RAM, llevándola a bajas temperaturas. Recientemente, los investigadores colocaron un teléfono Android en el congelador durante una hora y luego pudieron recuperar la clave de cifrado de su memoria RAM después de restablecerla.(El cargador de arranque debe estar desbloqueado para este ataque, pero sería teóricamente posible eliminar la RAM del teléfono y analizarla).
Una vez que los contenidos de la RAM se copian o "vuelcan" a un archivo, se puedenanalizado automáticamente para identificar la clave de cifrado que otorgará acceso a los archivos cifrados.
Esto se conoce como un "ataque de arranque en frío" porque se basa en el acceso físico a la computadora para tomar las claves de cifrado que quedan en la memoria RAM de la computadora.
Cómo prevenir los ataques de arranque en frío
La manera más fácil de evitar un ataque de arranque en frío es asegurarse de que su clave de cifrado no se encuentre en la memoria RAM de su computadora. Por ejemplo, si tiene una computadora portátil corporativa llena de datos confidenciales y le preocupa que pueda ser robada, debe apagarla o ponerla en modo de hibernación cuando no la esté usando. Esto elimina la clave de cifrado de la memoria RAM de la computadora: se le pedirá que vuelva a ingresar su frase de contraseña cuando vuelva a iniciar la computadora. Por el contrario, poner la computadora en modo de suspensión deja la clave de cifrado restante en la memoria RAM de la computadora. Esto pone a su computadora en riesgo de ataques de arranque en frío.
La "Especificación de mitigación de ataque de reinicio de la plataforma TCG" es una respuesta de la industria a esta preocupación. Esta especificación obliga al BIOS de un dispositivo a sobrescribir su memoria durante el arranque. Sin embargo, los módulos de memoria de un dispositivo podrían eliminarse de la computadora y analizarse en otra computadora, evitando esta medida de seguridad. Actualmente no hay una forma infalible de prevenir este ataque.
¿Realmente necesitas preocuparte?
Como geeks, es interesante considerar los ataques teóricos y cómo podemos prevenirlos. Pero seamos honestos: la mayoría de la gente no tendrá que preocuparse por estos ataques de arranque en frío. Los gobiernos y las empresas con datos confidenciales para proteger querrán tener en cuenta este ataque, pero el geek promedio no debería preocuparse por esto.
Si alguien realmente quiere sus archivos encriptados, probablemente intenten obtener su clave de cifrado en lugar de intentar un ataque de arranque en frío, que requiere más experiencia. Crédito de imagen de
: Frank Kovalcheck en Flickr, Alex Gorzen en Flickr, Blake Patterson en Flickr, XKCD
