Copie de mémoire cryptée : Les outils

Par Korben le 21 juillet 2008

frozenmemory Copie de mémoire cryptée : Les outils

Je ne sais pas si vous êtes au courant mais en ce moment, à New York se déroule la conférence The Last HOPE (Hackers On Planet Earth).

Une équipe de chercheurs-hackeurs de PrinceTown qui avaient montré cette année comment récupérer les clés de cryptage à partir de la mémoire d’une machine éteinte viennent de rendre public lors de cette conférence leurs outils permettant d’effectuer cette manip.

Ces outils permettent de récupérer et de manipuler vos dumps de mémoire. Le premier soft (bios_memimage) sert à démarrer une machine via le réseau (PXE) pour copier la mémoire vive. Il y a même une petite explication sur comment utiliser un iPod pour faire ses dumps mémoire tranquillement… Efi_memimage utilise l’interface EFI et apporte la couche TCP/IP de BSD pour permettre une copie de la mémoire via TCP. Aeskeyfind quand à lui sait récupérer les clés AES 128 ou 256 bits à partir de ces dumps et rsakeyfind fait exactement pareil avec du RSA.

AesFix permet quand à lui de corriger jusqu’à 15 % d’une clé mais en réalité, lors de leurs tests, avec un dump mémoire classique, il n’y a eu que 0,1 % d’erreur et si ils congèlent les puces mémoires avant, on arrive à un taux d’erreur de 0,01 %.

Il est clair que cette technique de pénétration est une première et rend tous les ordinateurs utilisant le cryptage faillibles. Le problème ici, c’est qu’il n’y a pas de solution pour contrer cela, mis à part effectuer un changement radical dans la façon d’architecturer la RAM. En attendant certains proposent de créer une carte sur laquelle se trouverait la RAM et qui en cas de détection d’intrusion, viderait cette dernière de son contenu.

Tous les outils sont ici

Je vous recommande aussi la lecture des sujets suivants


Faites un lien vers cette news sur votre site



19 Commentaire(s)

  1. MyAvatars 0.2

    seb Reply to this comment

    Je ne suis pas expert mais comment les donnée de la ram qu’on veux récupérer sont elles encore dedans si on reboot le pc pour booter en pxe?

    Posté le 21 juillet 2008 à 09:14:53

  2. MyAvatars 0.2

    Korben Reply to this comment

    Ils ont démontré que la clé de cryptage restait en mémoire quelques secondes et encore plus longtemps si on gelait cette mémoire.
    Suffisamment pour dumper la mémoire.

    Posté le 21 juillet 2008 à 09:22:37

  3. MyAvatars 0.2

    Thomas Reply to this comment

    Moi ce que je ne comprend pas c’est l’interet (hors démonstration technique) d’une telle manip.
    Et si ce type de hack se développe (j’en doute !), il suffira d’ecrire sur sa mémoire avant d’éteindre son ordinateur et le tour est joué!

    Posté le 21 juillet 2008 à 09:23:39

  4. MyAvatars 0.2

    Roultabie Reply to this comment

    @Thomas: Euh, si je ne me trompe pas… Pour les serveurs d’entreprises, il n’est pas vraiment possible de faire ce que l’on veux et encore moins d’écrire sur la mémoire. De plus, il faut savoir quand le hack va avoir lieu.

    Ce hack est très intéressant pour la sureté de certaines boites… Me trompe-je?

    Posté le 21 juillet 2008 à 09:29:30

  5. MyAvatars 0.2

    namdoog Reply to this comment

    L’interet c’est de recuperer la cle de cryptage d’un disque dur crypté. Je sais pas si ca va se develloper, mais c’est un beau trou de securité et si j’avais des secrets industrielles ou bancaires a proteger ca m’inquieterait.
    En plus maintenant ils peuvent faire ca par le reseau.

    Posté le 21 juillet 2008 à 09:44:21

  6. MyAvatars 0.2

    snash Reply to this comment

    Vous oubliez la 1ere règle de sécurité :
    “Des que l’accès physique a la machine est possible, la machine et son contenu peuvent être considéré comme perdu.”

    Des qu’une personne malveillante a un accès physique a une machine, c’est une question de temps avant qu’elle ait un accès totale. Ce hack fait juste gagner un peu de temps.

    @namdoog : Comment veux tu congeler la mémoire via le réseau ?

    Posté le 21 juillet 2008 à 10:12:50

  7. MyAvatars 0.2

    Korben Reply to this comment

    @snash: T’es pas obligé de la congeler… la congélation augmente juste le temps et diminue le taux d’erreur, c’est tout

    Posté le 21 juillet 2008 à 10:21:07

  8. MyAvatars 0.2

    snash Reply to this comment

    @Korben : Ah oui, j’ai mal lu. mais c’est normal on est ven^Z^Z^Z Lundi :’(

    Posté le 21 juillet 2008 à 10:45:10

  9. MyAvatars 0.2

    AbriCoCotier Reply to this comment

    @Korben : je dis sans doute une connerie, mais y’a pas moyen de mettre un petit aimant au dessus de la ram (aimant qui n’est pas sous tension lorsque l’ordinateur est alimenté, mais qui est relié à un condensateur, qui dès que l’ordinateur n’est plus sous tension, vide sa charge, alimente l’aimant, et vide la RAM) ???

    Posté le 21 juillet 2008 à 12:42:19

  10. MyAvatars 0.2

    Eno Reply to this comment

    @AbriCoCotier: Non la RAM ce sont des portes logiques de type flip-flop ce n’est pas magnétique :)

    Posté le 21 juillet 2008 à 13:22:17

  11. MyAvatars 0.2

    stakhanov Reply to this comment

    Autrement dit pour se fabriquer de la mémoire flash à bon marché il suffit de prendre de la RAM et de la congeler !!! :-D

    Je sors => [] ;-)

    Posté le 21 juillet 2008 à 13:36:46

  12. MyAvatars 0.2

    1ace Reply to this comment

    @snash: c’est la loi #3 ;)
    mais ta remarque reste entièrement valable

    Posté le 21 juillet 2008 à 14:10:30

  13. MyAvatars 0.2

    Septox Reply to this comment

    Ahh,
    il existe un type de RAM qui a l’initialisation se remplit aleatoirement. Pour des postes “sensibles” il suffira de le faire au moment d’eteindre la machine (bien sur que je parle du systeme d’exploitation et non de l’utilisateur lambda ou root).
    Mais comme le soulignais snash : des que l’acces physique est la, faut considere la machine comme “perdue”.

    Posté le 21 juillet 2008 à 15:36:13

  14. MyAvatars 0.2

    namdoog Reply to this comment

    Korben a oublié l’outil MemFreeze pour congeler les barettes a distance ^^

    Posté le 21 juillet 2008 à 16:19:00

  15. MyAvatars 0.2

    snash Reply to this comment

    Youai !!! MemFreeze, ça m’intéresse mais pas pour les mêmes raisons, pour limiter la taille de mes clims ;)

    @1Ace : Mes base de sécurité c’est pas Microsoft qui me les a appris ;)

    Posté le 21 juillet 2008 à 16:25:38

  16. MyAvatars 0.2

    1ace Reply to this comment

    @snash: moi non-plus, t’inquiète pas ^^
    c’est juste que c’est le seul endroit “stable” où je les ai vu ;)

    Posté le 21 juillet 2008 à 18:45:10

  17. MyAvatars 0.2

    olivier Reply to this comment

    Korben, le cryptage n’existe pas !!! Arrête ce faux anglicisme (je le lis 3 ou 4 fois par semaine !!

    Petit cours de chiffrement : http://fr.wikipedia.org/wiki/M%C3%A9thode_de_chiffrement

    Posté le 21 juillet 2008 à 19:04:09

  18. MyAvatars 0.2

    Korben Reply to this comment

    @olivier: Oui, je sais que ça n’existe pas, y’en a toujours un qui me la sort celle là donc je suis au courant mais je ne sais pas pourquoi, en accord avec moi-même, je préfère utiliser cryptage :-)

    Posté le 21 juillet 2008 à 19:14:26

  19. MyAvatars 0.2

    namdoog Reply to this comment

    Tinkiet mon petit Korby, Canal+ est de ton coté ;)

    Posté le 22 juillet 2008 à 21:40:57

Lacher un com'

« Retour aux commentaires classiques (texte)