A través de nuestros amigos de HackPlayers hemos descubierto esta sencilla herramienta de ISEC Partners llamada YoNTMA - You'll Never Take Me Alive - orientada a dificultar los ataques de arranque frio "Cold Boot" o de Acceso Directo a Memoria "DMA" tanto en equipos Windows como en equipos Mac OS X. Ambos ataques están orientados a poder robar las claves de descifrado de BitLocker o FileVault accediendo directamente a las zonas de memoria donde están alojadas las claves de descifrado cuando el sistema ya ha sido arrancado.
En el caso concreto de los ataques de DMA para Mac OS X se han publicado trabajos extensos que explican como explotarlo con éxito en todos los equipos Mac con versiones anteriores a Mac OS X 10.8.2 y en todos los equipos Mac con hardware anterior al Ivy Bridge de Intel, que permite este ataque.
Ahora, con la herramienta de YoNTMA, lo que se pretende es borrar las claves de memoria en cuanto se detecte que el equipo ha sido desconectado de la fuente de alimentación, así que se ha creado un pequeño servicio para Mac OS X que detecta ese evento y pone el equipo inmediatamente en modo hibernación, eliminando completamente las claves de memoria. Curioso, pero práctico.
No hay comentarios:
Publicar un comentario