Defensa del software contra ataques de arranque en frío

4

Los ataques de arranque en frío son particularmente desagradable . En Android, una solución es utilizar un dispositivo Nexus con un gestor de arranque bloqueado para evitar el flasheo de una recuperación personalizada.

En una PC, sus medidas de seguridad son aún más limitadas. El atacante que tiene acceso a una computadora portátil en funcionamiento puede arrojarla a un congelador y luego reiniciarse rápidamente en la BIOS para arrancar en una unidad de disco diseñada para buscar la clave en el espacio de la memoria. Proteger con contraseña la BIOS es una buena idea, pero su kilometraje puede variar.

Una de las protecciones en las que pensé era monitorear la temperatura de la CPU o la placa base en el software. Si la temperatura cae por debajo de un cierto umbral (es decir, se detectó un entorno frío), corte la alimentación con fuerza, finalice la alimentación lo más rápido posible, posiblemente con un script de apagado que ponga a cero la RAM.

¿Este enfoque funcionaría al menos sobre una base teórica? ¿Hay proyectos que hagan esto para prevenir ataques de arranque en frío?

    
pregunta Naftuli Kay 31.05.2015 - 21:03
fuente

3 respuestas

2

Hay varias líneas de defensa:
Los más obvios son establecer contraseña del BIOS , (como usted menciona) usar cifrado completo del disco , no usar el modo de suspensión, el modo de bloqueo y especialmente no la hibernación, cifrarlo en CMD (Windows 7):

  

fsutil comportamiento set encryptpagingfile 1

Mantenga sus archivos importantes en un contenedor cifrado . Un arranque en frío exitoso puede ingresar al FDE pero no al contenedor interno (corríjame si me equivoco)
Asegúrese de tener DDR3 RAM, tiene la menor persistencia de memoria para este ataque, los tipos más antiguos son mucho más lentos.
Si puede, habilite la autoprueba de encendido ( POST ) en la BIOS, intentará poner a cero la memoria.
ECC restablecerá la memoria durante la inicialización. Compruebe si lo tiene en CMD (W7):

  

wmic MEMORYCHIP obtiene DataWidth, TotalWidth

Si el valor de TotalWidth es mayor que el valor de DataWidth, tiene memoria ECC.

Si está físicamente impedido de apagar su PC, puede usar el software apagado remoto desde los teléfonos inteligentes. La forma ideal es un Android que vincule la iniciación de apagado a un p. Ej. Presionando volumen arriba / abajo x veces. De esta manera puede apagar la PC con las manos en el bolsillo.

Este es un nugget dorado de un Blackhat . Desafortunadamente, no tengo la más mínima idea de cómo implementar esto.

  

BIOS BOOT: los remanentes de las claves de cifrado se pueden recuperar con una probabilidad muy alta, a menos que sus claves de disco maestro estén almacenadas en el rango de direcciones físicas 0x7c00– 0x7bff.
  Un controlador de filtro de cifrado de disco se carga muy temprano en el proceso de arranque y puede asignar este rango de memoria para su uso exclusivo.
  512 bytes es suficiente espacio para múltiples claves de cifrado de disco, o para una programación de claves AES 256.
  Cualquier intento de iniciar CUALQUIER sistema operativo o dispositivo alternativo sobrescribirá las claves almacenadas en este rango de direcciones.

En el mismo documento, ellos discuten tu pregunta:
En cuanto a una solución de software (no he probado) pero puedo ver que HWiNFO tiene una función de alerta, sin embargo, no pude encontrar RAM temperatura, pero no me esforcé mucho.

Porúltimo(algoconloquenotengoexperiencia)puede" mantener " su estado de hardware usando Epoxy para dificultar la eliminación del hardware y / o la introducción de nuevo hardware.
Nota al margen: para aquellos de ustedes con una PC estacionaria, un chasis con tornillos y memoria DDR3 tiene muchos obstáculos para evitar que se enfríe el pistón si comienza a apagarse antes de que el atacante intente algo.

    
respondido por el Manumit 02.06.2015 - 14:31
fuente
1

La alerta de temperatura puede funcionar, sin embargo, debes hacer esto en el nivel de BIOS. El atacante puede iniciar este ataque mientras la computadora se apaga. En este caso, un software que se ejecuta en el sistema operativo no puede hacer su trabajo. El BIOS puede observar la temperatura del sistema y, si es muy baja, puede borrar la memoria. Creo que podría funcionar.

Por cierto, encontré estas preguntas en SE. Las respuestas y los comentarios son realmente interesantes, deberías echar un vistazo:

Cómo puede el impacto del arranque en frío ataques minimizados

Limpia la memoria RAM al apagar para evitar un ataque de arranque en frío

Cómo evitar la prevención de ataques de arranque en frío Ataques en cifrado Claves de cifrado

    
respondido por el Batuhan 01.06.2015 - 08:49
fuente
0

Puede usar el cifrado completo del disco para evitar ataques de arranque en frío. Si el hacker tiene todos tus discos, solo puede borrarlos si no conoce la contraseña.

    
respondido por el Daniil Svetlov 01.06.2015 - 07:37
fuente

Lea otras preguntas en las etiquetas