03 Jun Ataques DMA e cold boot: sem segurança física, encriptação pode ser contornada
Quando um disco utiliza encriptação, os dados nele armazenados encontram-se protegidos até o desbloquear. No entanto, após desbloquear o disco, as chaves de encriptação ficarão armazenadas na memória RAM, a partir de onde poderão ser extraídas e posteriormente utilizadas para aceder aos seus dados por um atacante com acesso físico ao seu computador.
Para extrair as chaves de encriptação da memória RAM, o atacante poderá realizar um dos seguintes ataques:
- Ataque Direct Memory Access (DMA): DMA é uma funcionalidade que permite que alguns componentes de hardware interajam diretamente com a memória RAM de um computador e transfiram dados para e a partir desta sem intervenção do processador. Esta funcionalidade é utilizada para acelerar o tempo de processamento e aumentar a taxa de transferência do computador, no entanto, pode também ser utilizada por um atacante com acesso físico ao computador para aceder diretamente aos conteúdos da memória RAM a partir de um dispositivo periférico sem necessitar de instalar qualquer software no seu computador. Ou seja, mesmo que o seu computador esteja bloqueado, o atacante poderá conseguir aceder aos conteúdos da memória RAM e extrair as chaves de encriptação do seu disco.
- Ataque cold boot: A memória RAM é uma memória volátil porque necessita de energia para se manter acessível. Ou seja, os dados armazenados na memória RAM perdem-se assim que desliga o computador. No entanto, a perda dos dados não é imediata: os dados perdem-se gradualmente e podem ser acedidos durante alguns segundos após desligar o computador, mesmo à temperatura ambiente e se o módulo de memória RAM for removido da motherboard. Se o módulo de memória RAM for mantido a temperaturas reduzidas, este período de tempo poderá ser estendido a minutos ou até horas. Para isso, o atacante poderá pulverizar diretamente o módulo de memória RAM com latas invertidas de spray de ar comprimido, submergir o módulo de memória RAM em nitrogénio líquido ou ambos. Este tempo é suficiente para um atacante extrair as chaves de encriptação da memória RAM através de um ataque cold boot, que consiste em reiniciar o computador e iniciá-lo a partir de uma pen USB com um software especial que irá copiar os conteúdos da memória RAM. Alternativamente, o atacante poderá colocar o módulo de memória RAM num computador diferente para o ler. A partir dos conteúdos da memória RAM, o atacante conseguirá extrair as chaves de encriptação do seu disco. Este ataque não é recente (foi publicado em 2008), pelo que já foram tomadas medidas para o tornar menos eficaz. Uma destas medidas foi criada pelo Trusted Computing Group (TCG), de que fazem parte a AMD, a Hewlett-Packard, a IBM, a Intel e a Microsoft, e consiste em escrever por cima dos conteúdos da RAM quando o computador é reiniciado. No entanto, em 2018, investigadores descobriram uma forma de contornar esta protecção ao manipular fisicamente o hardware do computador.
Isto significa que, se deixar o seu computador ligado, um atacante com acesso físico ao mesmo poderá extrair as chaves de encriptação. Após extrair as chaves de encriptação, o atacante poderá roubar o seu computador e conseguirá aceder aos seus dados. Se acredita que um atacante pode ter acesso físico ao seu computador, para se proteger destes ataques deve, portanto, desligá-lo completamente ou colocá-lo em hibernação quando não o estiver a utilizar (e não apenas bloqueá-lo ou colocá-lo em suspensão). É também importante que não deixe o computador sem supervisão imediatamente após o desligar. Se utiliza o Bitlocker com um TPM, deve protegê-lo ainda com um PIN, pen USB ou ambos. Deve também activar a opção Secure Boot no UEFI e restringir a capacidade de iniciar o computador a partir de dispositivos removíveis, e definir uma password para BIOS para que esta opção não possa ser alterada. No entanto, se acredita que um atacante pode ter acesso físico ao seu computador, o mais importante é garantir a segurança física do mesmo: se o atacante não conseguir entrar na sua casa ou escritório, não conseguirá realizar estes ataques.