Il robot può estrarre i dati dai chip RAM con una tecnologia agghiacciante • Il registro

Dec 03, 2023

Gli attacchi di avvio a freddo, in cui i chip di memoria possono essere raffreddati e i dati, comprese le chiavi di crittografia, saccheggiati, sono stati dimostrati già nel 2008, ma sono stati automatizzati.

Quel tipo di attacco originale è stato migliorato e automatizzato sotto forma di una macchina ruba-memoria che può essere tua per circa $ 2.000, con un po' di manipolazione elettrica autoguidata.

Venerdì, alla conferenza di reverse engineering REcon in Canada, Ang Cui, fondatore e CEO di Red Balloon Security, presenterà un discorso intitolato "Ice Ice Baby: Coppin' RAM With DIY Cryo-Mechanical Robot".

La presentazione si concentra su un robot crio-meccanico per l'estrazione del contenuto della RAM che Cui e i colleghi Grant Skipper e Yuanzhe Wu hanno sviluppato per raccogliere dati decrittografati dai moduli di memoria DDR3. La logica alla base di ciò è che i produttori di hardware hanno reso più difficile il reverse engineering dei loro dispositivi, disabilitando le interfacce di debug JTAG e i circuiti UART e utilizzando il packaging BGA (ball grid array) e firmware crittografato.

"Stiamo assistendo a quella che io chiamo finitura del prodotto, in cui i produttori stanno rimuovendo molte interfacce di debug", ha detto Cui a The Register in un'intervista. "Non aumenta necessariamente la sicurezza del prodotto, ma rende l'introspezione del dispositivo e il reverse engineering del dispositivo molto più difficili. È come perdere tempo aggirando alcune di queste cose hardware.

"Così abbiamo deciso di cambiare quella dinamica seguendo una strada diversa", ha detto Cui. "Invece di provare a eseguire l'iniezione dei guasti, cosa che abbiamo fatto in passato, o di eseguire un reverse engineering molto invasivo mediante ablazione laser, abbiamo costruito questo robot molto conveniente e sorprendentemente preciso che congela letteralmente un chip RAM alla volta sul dispositivo ."

"Quindi estraiamo la memoria fisica dal dispositivo quando vogliamo leggere il contenuto della RAM fisica: la inseriamo nel nostro piccolo dispositivo FPGA. Fondamentalmente si tratta semplicemente di leggere la memoria fisica afferrandola dal dispositivo e quindi inserendola fisicamente il lettore. E in realtà ha funzionato sorprendentemente bene", ha spiegato Cui.

"Molte volte nel bootloader vedrai le chiavi di decrittazione. Vedrai anche il codice del bootloader, che molte volte, se hai un firmware crittografato su flash e una ROM di avvio sicura anche se in qualche modo, puoi avere davvero difficoltà anche ad accedere per leggere il codice. Ma con questo approccio, ottieni il codice, ottieni tutti i dati, ottieni lo stack, ottieni l'heap, ottieni tutta la memoria fisica ", ha raccontato.

L'attacco originale con avvio a freddo, ha detto Cui, prevedeva il congelamento della memoria di un laptop capovolgendo una bomboletta di aria compressa per raffreddare la DRAM del computer. Quando i chip di memoria possono essere portati a circa -50°C, i dati rappresentati al loro interno possono essere temporaneamente congelati, in modo che persistano per diversi minuti, anche quando sono spenti.

"Ma se si guardano i dispositivi embedded, non hanno RAM modulare", ha detto Cui. "È tutto saldato. Abbiamo anche lavorato su una serie di controller di memoria molto personalizzati. Abbiamo utilizzato questo approccio per svolgere il lavoro di divulgazione delle vulnerabilità di Siemens all'inizio di quest'anno.

"Quindi, una volta ottenuto che un chip di memoria funzionasse in modo affidabile e poi leggesse correttamente, dovevamo fare non uno ma cinque chip, perché sono tutti intrecciati insieme. E poi tre chip sono su un lato del tabellone e due di questi si trovano nella parte inferiore del tabellone, quindi abbiamo dovuto trovare un modo per estrarre magicamente tutti e cinque i chip di memoria letteralmente con la stessa istruzione, il che è, sai, esilarantemente complicato e non è proprio fattibile. "

"Abbiamo ideato quest'altro trucco davvero interessante in cui lo facciamo uno alla volta e non cerchiamo solo un'esecuzione deterministica, ma stiamo anche osservando l'emanazione elettromagnetica del dispositivo per capire fondamentalmente dove si trova il dispositivo attraversare periodi di funzionamento vincolati alla CPU. Perché se sei vincolato alla CPU, indovina cosa non stai facendo? Non stai scrivendo dalla memoria," ha ricordato.