Thursday, November 3, 2011

ColdBoot Attack em Forense Computacional

[ Update: 2011-11-03 ]


Uma implementação de AES resistente a ataques do tipo "ColdBoot" foi tornada pública pela Universidade de Erlanger, da Alemanha. A chave secreta e toda cálculo computacional é armazenada e processada inteiramente nos registradores de "debug" do processador, e não na memória. 


O processador precisa minimamente suportar SSE2 (idealmente, core-i5 ou core-i7 suportando AES-NI). No site abaixo é possível fazer o download do patch para o kernel linux 2.6.36 e testar por conta própria.


Mais informações


Site Oficial: http://www1.informatik.uni-erlangen.de/tresor
Paper: http://www1.informatik.uni-erlangen.de/tresorfiles/tresor.pdf (Usenix 2011)


[ Update: 2008-07-20 ]


Os pesquisadores envolvidos no projeto da Princeton divulgaram o código fonte utilizado nos experimentos [Imaging, Key-Finding (AES e RSA) e Error-Correction]





[ Post Original: 2008-06-19 ]

Jacob Appelbaum,
irá divulgar daqui a um mês - na próxima (e última) conferência 'HOPE' - alguns avanços nas técnicas de extração de dados baseados no método ColdBoot



Em fevereiro deste ano, pesquisadores da universidade de Princeton lançaram um paper e um video sobre um ataque interessantíssimo chamado 'ColdBoot', que foi inicialmente apresentado como um ataque às implementações de 'Full Disk Encryption' (ex: TrueCrypt/BitLocker-Vista/FileVault).


A contribuição de Appelbaum tratá um grande benefício para a comunidade de Segurança - pois este fornecerá detalhes/códigos que serão muito úteis para os reponsáveis pela 'busca e apreensão' de computadores em crimes envolvendo alta tecnologia - o que certamente aumentará substancialmente a qualidade das informações disponíveis durante o processo de aquisição/coleta de evidências voláteis. Já existem utilitários como o ram2usb e msramdmp, que a partir de boot em pendrives USB / CDs fazem a aquisição da memória RAM alterando-a o mínimo possível.


Mais informações:

No comments:

Post a Comment