L’attacco cold boot ha come finalità quella di ottenere i dati memorizzati temporaneamente all’interno della RAM, sia essa di tipo dinamico (DRAM) che di tipo statico (SRAM). In particolare, tali informazioni rimangono memorizzate nei supporti precedentemente mensionati anche in assenza di alimentazione (ovvero a PC spento) per una durata che può variare da alcuni secondi fino a qualche minuto.

Per ottenere il dump dei dati memorizzati nella RAM occorre spegnere il PC e riaccenderlo immediatamente, avviando un secondo sistema operativo (ad esempio mediante una penna USB) sul quale è presente un applicativo sviluppato ad hoc per il salvataggio delle informazioni che risiedono nella memoria volatile. Un altro metodo consiste nel rimuovere i banchi di RAM dal PC vittima ed inserirli direttamente nel PC dell’attaccante.

Ma perchè eseguire il dump della RAM? Il motivo è molto semplice. Quando si usano programmi di crittografia per proteggere dati sensibili, nel momento in cui viene inserita la password per decriptare le informazioni, essa rimane memorizzata proprio nella RAM. A questo punto l’uso di algoritmi crittografici all’avanguardia come AES diventa del tutto inutile, in quanto la password risiede in chiaro all’interno della Random Access Memory.

Inoltre, occorre notare che la finestra temporale durante la quale è possibile ottenere le informazioni cercate prima che si deteriorino può essere artificiosamente allargata semplicemente spruzzando un refrigerante direttamente sui banchi di RAM.

Ma quali sono le possibili misure di sicurezza che possono mitigare il rischio associato a tale tipo di attacco? Una su tutte prevede che venga eseguito l’unmount dei dischi criptati prima che il PC venga spento. In questo modo la password in chiaro presente nalla RAM viene immediatamente sovrascritta e quindi risulta completamente inutilizzabile per l’attaccante.

Un altro rimedio consiste nell’utilizzare un sistema di autenticazione basato su 2 fattori (ad esempio una password da inserire per eseguire il boot del sistema operativo (PIN) ed una penna USB che contiene la chiave di startup). Tale sistema consente la riuscita dell’attacco descritto solo mentre il PC è acceso, garantendo la totale protezione ai PC spenti oppure nello stato hibernate. Per contro, lo stato sleep non è da considerarsi sicuro, in quanto solitamente le password rimangono memorizzate nella RAM.

Esistono anche dei sistemi operativi ed alcuni tipi di hardware sviluppati appositamente per resistere ad attacchi di questo tipo. Essi fanno in modo che all’accensione della macchina ed in particolare durante la fase di POST (Power On Self Test), la memoria volatile venga completamente sovrascritta. Tale protezione è comunque aggirabile rimuovendo la RAM ed inserendola direttamente nel PC dell’attaccante.

Infine, si potrebbe limitare la possibilità di effettuare dei cambiamenti alla sequenza di boot (mediante un’apposita password), in modo da non far avviare sistemi operativi “esterni” con scopi potenzialmente malevoli. Resta comunque la possibilità che la RAM venga montata direttamente sul pc dell’attaccante.

Di seguito riporto un video abbastanza esplicativo.

https://www.youtube.com/watch?v=Ej-Nr79bVjg

A presto.

PS: grazie a Misha Mistral per i preziosi suggerimenti.