Robô pode extrair dados de chips de RAM com tecnologia assustadora • The Register
LarLar > Notícias > Robô pode extrair dados de chips de RAM com tecnologia assustadora • The Register

Robô pode extrair dados de chips de RAM com tecnologia assustadora • The Register

May 26, 2023

Os ataques de inicialização a frio, nos quais os chips de memória podem ser resfriados e os dados, incluindo as chaves de criptografia, saqueados, foram demonstrados em 2008 - mas foram automatizados.

Esse tipo original de ataque foi aprimorado e automatizado na forma de uma máquina de furto de memória que pode ser sua por cerca de US$ 2.000, com um pouco de manipulação elétrica autoguiada.

Na sexta-feira, na conferência de engenharia reversa REcon no Canadá, Ang Cui, fundador e CEO da Red Balloon Security, apresentará uma palestra intitulada "Ice Ice Baby: Coppin' RAM With DIY Cryo-Mechanical Robot".

A apresentação se concentra em um robô criomecânico de extração de conteúdo RAM que Cui e seus colegas Grant Skipper e Yuanzhe Wu desenvolveram para coletar dados descriptografados de módulos de memória DDR3. A justificativa para fazer isso é que os fabricantes de hardware tornaram mais difícil a engenharia reversa de seus dispositivos - desativando as interfaces de depuração JTAG e os circuitos UART e usando o pacote Ball Grid Array (BGA) e o firmware criptografado.

“Estamos vendo o que chamo de acabamento do produto, onde os fabricantes estão removendo muitas interfaces de depuração”, disse Cui ao The Register em uma entrevista. "Isso não aumenta necessariamente a segurança do produto, mas torna a introspecção do dispositivo e a engenharia reversa do dispositivo muito mais difícil. É uma espécie de perda de tempo, contornando algumas dessas coisas de hardware.

"Então decidimos mudar essa dinâmica seguindo um caminho diferente", disse Cui. "Em vez de tentar fazer a injeção de falhas, o que fizemos no passado, ou fazer uma engenharia reversa muito invasiva por ablação a laser, construímos este robô muito acessível e surpreendentemente preciso que literalmente congela um chip de RAM no dispositivo por vez. ."

"Em seguida, retiramos a memória física do dispositivo quando queremos ler o conteúdo da RAM física - nós a colocamos em nosso pequeno dispositivo FPGA. É basicamente apenas ler a memória física, pegando-a do dispositivo e colocando-a fisicamente em o leitor. E realmente funcionou surpreendentemente bem", explicou Cui.

"Muitas vezes no bootloader, você verá as chaves de descriptografia. Você também verá o código do bootloader - que muitas vezes, se você tiver criptografado o firmware no flash e tiver uma ROM de inicialização segura mesmo um pouco, você pode ter muita dificuldade até mesmo em obter acesso para ler o código. Mas com essa abordagem, você obtém o código, obtém todos os dados, obtém a pilha, obtém a pilha, obtém toda a memória física ", contou.

O ataque de inicialização a frio original, disse Cui, envolvia o congelamento da memória de um laptop invertendo uma lata de ar comprimido para resfriar a DRAM do computador. Quando os chips de memória podem ser reduzidos para cerca de -50°C, os dados representados podem ser temporariamente congelados - de modo que persistem por vários minutos, mesmo quando desligados.

"Mas se você olhar para dispositivos embutidos, eles não têm RAM modular", disse Cui. "Está tudo soldado. Também trabalhamos em vários controladores de memória muito personalizados. Usamos essa abordagem para fazer o trabalho de divulgação de vulnerabilidade da Siemens no início deste ano.

"Então, uma vez que conseguimos um chip de memória funcionando de forma confiável e lendo corretamente, tivemos que fazer não um, mas cinco chips, porque eles estão todos entrelaçados. E então três dos chips estão em um lado da placa e dois deles estão na parte inferior da placa. Então, tivemos que encontrar uma maneira de, de alguma forma, extrair magicamente todos os cinco chips de memória literalmente com a mesma instrução - o que é, você sabe, hilariamente complicado e simplesmente não é realizável. "

"Criamos outro truque muito legal em que fazemos um de cada vez e procuramos não apenas uma execução determinística, mas também observamos a emanação eletromagnética do dispositivo para descobrir basicamente onde o dispositivo está passando por períodos de operação limitados pela CPU. Porque se você estiver limitado pela CPU, adivinhe o que não está fazendo? Você não está gravando da memória", lembrou ele.