Pesquisadores da Universidade de Princeton, nos EUA, divulgaram nesta quinta-feira (21/02) os resultados de um estudo provando que a chave (ou “senha”) necessária para decodificar qualquer arquivo presente em um disco rígido criptografado com tecnologias como o BitLocker, do Windows Vista, ou o FileVault, do OS X, pode ser obtida por meio da análise dos dados da memória RAM, mesmo após o computador estar desligado por alguns minutos.
Os engenheiros e cientistas envolvidos, entre os quais Ed Felten, conhecido pelo site Freedom to Tinker, mostraram, em sua tese, que as informações presentes num chip de memória RAM, que não desaparecem imediatamente após o desligamento do sistema, podem ser analisadas com o objetivo da obtenção da chave capaz de decodificar os dados no disco rígido, pois esta, durante a operação normal do computador, fica na memória.
O principal objetivo do uso da criptografia do disco rígido é impossibilitar que aqueles que obtiverem acesso físico ao computador consigam acessar os dados armazenados. As novas descobertas mostram que, se o computador estiver ligado, ou no modo protetor de tela, ou em modo de espera, a chave criptográfica pode ser descoberta por meio da análise da memória, já que a chave ainda estará nela mesmo minutos após o desligamento do sistema.
Os pesquisadores desenvolveram técnicas e algoritmos capazes de “descobrir” bits que desapareceram da memória, caso o tempo entre a análise do chip e o desligamento do sistema tenha sido maior do que o ideal. Três métodos foram propostos: o controle de temperatura; o uso de algoritmos que “descobrem” quais bits sumiram; e a reprodução das condições em que o computador criptografado foi encontrado.
Usando ar comprimido em spray invertido (-50 °C), os cientistas descobriram que apenas 1% das informações armazenadas na memória são perdidas depois de 10 minutos, enquanto nitrogênio líquido (-196 °C) mantém 99,83% dos bits intactos no chip por uma hora, mesmo sem qualquer energia elétrica. Este período no qual os dados não desaparecem por completo possibilita que o pente de memória seja até mesmo retirado do computador alvo e inserido em outro para análise.
Muitos usuários e até mesmo especialistas acreditam que todos os dados na memória RAM somem no instante em que o computador é desligado, mas, na verdade, os dados desaparecem de forma gradual. Esta descoberta não é recente, como os próprios especialistas admitem ao afirmar que isto é conhecido desde a década de 70 e que, em um experimento de 1978, os dados armazenados em um chip de memória refrigerado com nitrogênio líquido não desapareceram após uma semana inteira.
Mesmo sem qualquer meio de retirar o pente de memória do sistema, ou de refrigerar o chip para que dados não sejam perdidos, existem métodos mais simples e rápidos para ler e salvar os dados armazenados na RAM. Um dos métodos propostos pelos pesquisadores envolve a inicialização do computador alvo por meio de um drive USB ou pela rede. Maximillian Dornseif, citado pelos especialistas, divulgou em 2004 uma técnica capaz de copiar a memória do sistema usando um iPod e uma porta firewire.
Os cientistas afiram que as técnicas por eles desenvolvidas funcionam para quebrar os sistemas de criptografia BitLocker, do Windows Vista — que conta com o apoio do chip do Trusted Computing (Computação Confiável) –, FileVault, do OS X, dm-crypt, do kernel do Linux (2.6 e mais novas) e o TrueCrypt. O PGP Disk Encryption não foi testado, mas John Dasher, da PGP Corporation, afirmou, ao ser consultado pelo site News.com, que os volumes PGP, uma vez desmontados, não armazenam mais a chave criptográfica na memória.
Os especialistas reconhecem que não há solução simples, pois não se trata de uma vulnerabilidade dos sistemas de criptografia. “Os softwares de criptografia de disco agora não possuem nenhum lugar seguro para armazenar suas chaves”, escreveu Ed Felten no site Freedom To Tinker. Mudanças no software provavelmente não teriam um efeito relevante e mudanças no hardware são complicadas, embora os pesquisadores admitam que chips de memória mais novos, uma vez desligados, perdem seus bits mais rapidamente do que outros mais antigos, embora a taxa de perda seja ainda previsível.
A única maneira de se proteger do ataque é não deixar o computador em modo de espera e, em vez disso, desligá-lo completamente.
Alex Halderman, Nadia Heninger, William Clarkson, Joseph Calandrino e Ariel Feldman, da Princeton, Seth Schoen, da Electronic Frontier Foundation, William Paul, da Wind River Systems e Jacob Appelbaum também estavam envolvidos no estudo, além de Ed Felten, que é professor. Calandrino, que é estudante de Ph.D na Princeton, participou da pesquisa como representante do Departamento de Segurança Nacional dos Estados Unidos. Agentes da polícia estão entre os mais beneficiados pelas novas descobertas, visto que a criptografia de discos rígidos tem dificultado a análise de computadores de suspeitos.
Pergunta
Northon 3
Fonte: Linha Defensiva
Pesquisadores da Universidade de Princeton, nos EUA, divulgaram nesta quinta-feira (21/02) os resultados de um estudo provando que a chave (ou “senha”) necessária para decodificar qualquer arquivo presente em um disco rígido criptografado com tecnologias como o BitLocker, do Windows Vista, ou o FileVault, do OS X, pode ser obtida por meio da análise dos dados da memória RAM, mesmo após o computador estar desligado por alguns minutos.
Os engenheiros e cientistas envolvidos, entre os quais Ed Felten, conhecido pelo site Freedom to Tinker, mostraram, em sua tese, que as informações presentes num chip de memória RAM, que não desaparecem imediatamente após o desligamento do sistema, podem ser analisadas com o objetivo da obtenção da chave capaz de decodificar os dados no disco rígido, pois esta, durante a operação normal do computador, fica na memória.
O principal objetivo do uso da criptografia do disco rígido é impossibilitar que aqueles que obtiverem acesso físico ao computador consigam acessar os dados armazenados. As novas descobertas mostram que, se o computador estiver ligado, ou no modo protetor de tela, ou em modo de espera, a chave criptográfica pode ser descoberta por meio da análise da memória, já que a chave ainda estará nela mesmo minutos após o desligamento do sistema.
Os pesquisadores desenvolveram técnicas e algoritmos capazes de “descobrir” bits que desapareceram da memória, caso o tempo entre a análise do chip e o desligamento do sistema tenha sido maior do que o ideal. Três métodos foram propostos: o controle de temperatura; o uso de algoritmos que “descobrem” quais bits sumiram; e a reprodução das condições em que o computador criptografado foi encontrado.
Usando ar comprimido em spray invertido (-50 °C), os cientistas descobriram que apenas 1% das informações armazenadas na memória são perdidas depois de 10 minutos, enquanto nitrogênio líquido (-196 °C) mantém 99,83% dos bits intactos no chip por uma hora, mesmo sem qualquer energia elétrica. Este período no qual os dados não desaparecem por completo possibilita que o pente de memória seja até mesmo retirado do computador alvo e inserido em outro para análise.
Muitos usuários e até mesmo especialistas acreditam que todos os dados na memória RAM somem no instante em que o computador é desligado, mas, na verdade, os dados desaparecem de forma gradual. Esta descoberta não é recente, como os próprios especialistas admitem ao afirmar que isto é conhecido desde a década de 70 e que, em um experimento de 1978, os dados armazenados em um chip de memória refrigerado com nitrogênio líquido não desapareceram após uma semana inteira.
Mesmo sem qualquer meio de retirar o pente de memória do sistema, ou de refrigerar o chip para que dados não sejam perdidos, existem métodos mais simples e rápidos para ler e salvar os dados armazenados na RAM. Um dos métodos propostos pelos pesquisadores envolve a inicialização do computador alvo por meio de um drive USB ou pela rede. Maximillian Dornseif, citado pelos especialistas, divulgou em 2004 uma técnica capaz de copiar a memória do sistema usando um iPod e uma porta firewire.
Os cientistas afiram que as técnicas por eles desenvolvidas funcionam para quebrar os sistemas de criptografia BitLocker, do Windows Vista — que conta com o apoio do chip do Trusted Computing (Computação Confiável) –, FileVault, do OS X, dm-crypt, do kernel do Linux (2.6 e mais novas) e o TrueCrypt. O PGP Disk Encryption não foi testado, mas John Dasher, da PGP Corporation, afirmou, ao ser consultado pelo site News.com, que os volumes PGP, uma vez desmontados, não armazenam mais a chave criptográfica na memória.
Os especialistas reconhecem que não há solução simples, pois não se trata de uma vulnerabilidade dos sistemas de criptografia. “Os softwares de criptografia de disco agora não possuem nenhum lugar seguro para armazenar suas chaves”, escreveu Ed Felten no site Freedom To Tinker. Mudanças no software provavelmente não teriam um efeito relevante e mudanças no hardware são complicadas, embora os pesquisadores admitam que chips de memória mais novos, uma vez desligados, perdem seus bits mais rapidamente do que outros mais antigos, embora a taxa de perda seja ainda previsível.
A única maneira de se proteger do ataque é não deixar o computador em modo de espera e, em vez disso, desligá-lo completamente.
Alex Halderman, Nadia Heninger, William Clarkson, Joseph Calandrino e Ariel Feldman, da Princeton, Seth Schoen, da Electronic Frontier Foundation, William Paul, da Wind River Systems e Jacob Appelbaum também estavam envolvidos no estudo, além de Ed Felten, que é professor. Calandrino, que é estudante de Ph.D na Princeton, participou da pesquisa como representante do Departamento de Segurança Nacional dos Estados Unidos. Agentes da polícia estão entre os mais beneficiados pelas novas descobertas, visto que a criptografia de discos rígidos tem dificultado a análise de computadores de suspeitos.
Link para o comentário
Compartilhar em outros sites
12 respostass a esta questão
Posts Recomendados