samedi 13 février 2010

L'attaque "Cold Boot", ça fait froid dans le dos...

Je viens de voir une vidéo saisissante de l'université de Princeton (eh oui encore eux...) sur la possibilité de retrouver la clef utilisée pour l'encryption d'un disque dur. La technique utilisée est la rémanence des données en DRAM.


Mais voyons de plus prêt comment ça marche!

Contrairement à ce que l'on peut croire, les DRAMs utilisées dans les ordinateurs modernes retiennent leur contenu de quelques secondes à quelques minutes après que l'alimentation soit arrêtée; et cela même à température ambiante; et même si elles sont retirées de la carte mère.

A titre d'exemple, après 2 minutes à température ambiante, on obtient une dégradation correspondant aux photos ci-dessous:



Après avoir réfrigéré la DRAM aux alentours de -50°C en utilisant un spray, on observe de nouveau la dégradation de la mémoire


Après 10 minutes, on obtient une dégradation très faible correspondant aux photos ci-dessous:


Bien que les DRAMs deviennent moins fiables quand elles ne sont pas soumises à des températures basses, elles ne sont pas immédiatement effacées; et leur contenu persiste un temps suffisant pour récupérer malicieusement l'image mémoire du système d'exploitation.

Il a donc été démontré que ce phénomène limite la capacité d'un système d'exploitation à protéger les données cryptographiques vis-à-vis d'un attaquant disposant d'un accès physique à la machine cible.

Ces attaques appelées "Cold Boot" (et on comprend maintenant mieux pourquoi) sont utilisées contre les systèmes d'encryption de disques les plus populaires: Bitlocker, FileVault, et TrueCrypt; et tout cela sans matériel spécifique.

L'attaque se déroule en plusieurs phases:

  • On accède physiquement à la machine (on peut se contenter de l'emprunter le temps de l'attaque uniquement)

  • Dans notre cas l'ordinateur fonctionne


  • La clef se trouve en DRAM


  • On connecte un disque externe et on reboote sur le disque externe pour lancer l'application malicieuse en charge de récupérer la clef d'encryption. L'application copie l'image de la mémoire puis recherche la clef d'encryption


  • La clef est trouvée. L'ensemble de l'opération ne dure que quelques minutes


Source: Center for Information Technology Policy (Princeton University): http://citp.princeton.edu/memory

samedi 6 février 2010

Membre de l'OWASP! Yes!

Faîtes comme votre serviteur, devenez membre (ou devrais-je dire adhérent) de l'OWASP.

Pour la modique somme de 50 dollars soit environ 35 euros (en fonction des fluctuations du cours), vous pouvez rejoindre la communauté OWASP de ceux qui se sentent concernés par la sécurité des applications web et qui veulent que les choses changent!

En retour vous ne serez pas en reste car vous recevrez, un magnifique T-Shirt pour les étés torrides...

une vraie carte de membre pour impressionner...

et un merveilleux diplôme à afficher au dessus de votre bureau.

Rejoignez le mouvement...!

Source: Open Web Application Security Project http://www.owasp.org/

Partager avec...