Mengandalkan perilaku remanen memori komputer, peneliti keamanan menemukan cara untuk mengekstrak data sensitif dari RAM, seperti kunci enkripsi, bahkan setelah kehilangan daya. Dikenal karena volatilitas dalam retensi data ketika kehabisan daya, RAM (Random Access Memory) dapat menyimpan informasi untuk waktu yang lebih lama – bahkan menit, dalam kondisi suhu rendah.
Perlindungan awal terhadap serangan cold-boot
Serangan cold-boot pertama dikembangkan satu dekade yang lalu. Jenis kompromi side-channel ini memerlukan akses fisik ke komputer dan ini membuatnya praktis terhadap target high-value daripada pengguna biasa. Meski begitu, pembuat komputer telah menerapkan pengamanan terhadapnya.
Trusted Computing Group, sebuah konsorsium yang dibentuk oleh AMD, Hewlett-Packard, IBM, Intel, dan Microsoft, memutuskan untuk melindungi komputer terhadap vektor ancaman ini dengan menimpa konten RAM ketika listrik kembali.
Spesifikasi ini disebut TCG Reset Attack Mitigation atau MORLock (Memory Overwrite Request Control).
Dengan cara ini, semua informasi dalam memori akan hilang ketika sistem di-boot, bahkan jika penyerang bertindak cukup cepat untuk menciptakan kondisi suhu rendah yang diperlukan untuk mempertahankan data dalam memori.
Akhir untuk MorLock
Peneliti keamanan Olle Segerdahl dan Pasi Saarinen dari F-Secure menemukan cara untuk memprogram ulang bagian non-volatile dari chip memori yang menyimpan instruksi overwrite; dengan demikian, mereka dapat menonaktifkan aksi ini dan mengaktifkan boot dari perangkat eksternal (USB stick) untuk mengekstrak dan menganalisis data yang tersedia dalam RAM.
Dua menit lebih dari cukup untuk mendapatkan kata sandi
Kedua peneliti mendemonstrasikan serangan cold-boot baru dalam sebuah video, menunjukkan bahwa musuh yang siap dapat melakukan serangan dalam waktu kurang dari dua menit:
Interval kritis adalah antara mematikan mesin dan memulainya lagi. Membekukan chip RAM, meskipun, membantu menjaga data selama waktu ini, memungkinkan boot ke sistem operasi langsung dari USB stick.
Teknik ini dapat mencuri data dalam memori komputer, termasuk kunci enkripsi hard drive.
Dalam kasus BitLocker, jika dikonfigurasi untuk otentikasi pra-boot dengan PIN, serangan hanya memiliki satu tembakan untuk menjadi sukses karena kode tersebut wajib untuk mengekstraksi kunci enkripsi ke dalam RAM.
Para peneliti mengatakan bahwa serangan mereka dapat dilakukan pada mesin Windows yang sudah berjalan atau tidak memerlukan PIN.
“Ini tidak mudah dilakukan, tetapi itu bukan masalah yang cukup sulit untuk ditemukan dan dimanfaatkan bagi kami untuk mengabaikan kemungkinan bahwa beberapa penyerang telah mengetahui hal ini,” kata Olle Segerdahl.
Pertahanan untuk serangan
Rekomendasi teratas dari para ahli adalah mengkonfigurasi laptop untuk dimatikan atau hibernasi daripada memasuki mode tidur. Mengkonfigurasi otentikasi pra-boot juga membuat pertahanan menjadi lebih kuat.
Untuk melindungi penggunanya, Microsoft memperbarui dokumentasi mereka di Bitlocker, yang sekarang memperingatkan bahwa implementasi MOR bit tidak tahan terhadap serangan fisik. Satu set lengkap penanggulangan tersedia di sini.
Apple menanggapi dengan menunjuk ke generasi terbaru Mac, yang memiliki chip T2, yang melakukan enkripsi secara terpisah dari CPU dan membuat serangan semacam itu lebih sulit untuk dieksekusi.
Kedua peneliti mempresentasikan serangan ini di konferensi keamanan SEC-T, di mana mereka menjelaskan rincian teknis dan metode untuk melewati implementasi keamanan, seperti booting USB stick pada sistem yang memiliki Secure Boot diaktifkan.
