{"id":21495,"date":"2023-07-11T15:11:37","date_gmt":"2023-07-11T18:11:37","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=21495"},"modified":"2023-07-17T16:23:02","modified_gmt":"2023-07-17T19:23:02","slug":"how-to-protect-ram","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/how-to-protect-ram\/21495\/","title":{"rendered":"Como proteger os segredos da sua RAM"},"content":{"rendered":"<p>Recentemente, os desenvolvedores do gerenciador de senhas KeePass solucionaram uma vulnerabilidade que permitia que a senha mestra <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-32784\" target=\"_blank\" rel=\"noopener nofollow\">fosse recuperada da RAM<\/a>, onde era armazenada em texto n\u00e3o criptografado. Da mesma forma, fragmentos de outras informa\u00e7\u00f5es importantes, como mensagens recentes ou informa\u00e7\u00f5es de bancos de dados corporativos, podem ser \u201craspados\u201d da mem\u00f3ria. Os desenvolvedores do KeePass rapidamente encontraram uma solu\u00e7\u00e3o pouco ortodoxa para o problema, mas na maioria dos outros aplicativos, as senhas ainda s\u00e3o armazenadas na RAM em texto n\u00e3o criptografado, tornando-se um ponto fraco generalizado dos sistemas de seguran\u00e7a.<\/p>\n<p>Um ataque de mem\u00f3ria parece ex\u00f3tico e complexo, mas na verdade \u00e9 bastante f\u00e1cil para os cibercriminosos realizarem um ataque bem-sucedido \u2013 se os administradores n\u00e3o adotarem medidas especiais de prote\u00e7\u00e3o.<\/p>\n<h2>Como algu\u00e9m pode acessar a mem\u00f3ria do computador<\/h2>\n<p>\u00c1reas de RAM usadas por diferentes aplicativos s\u00e3o amplamente isoladas umas das outras pelo sistema operacional e pelo hipervisor. Portanto, n\u00e3o \u00e9 poss\u00edvel ler um fragmento de mem\u00f3ria em que outro aplicativo esteja sendo executado. No entanto, processos com privil\u00e9gios de kernel (<em>sistema<\/em> no Windows, <em>root<\/em> no *Linux) s\u00e3o capazes de fazer isso. E existem v\u00e1rias maneiras de <a href=\"https:\/\/www.kaspersky.com.br\/blog\/nokoyawa-zero-day-exploit\/21130\/\" target=\"_blank\" rel=\"noopener\">escalar privil\u00e9gios<\/a> para o n\u00edvel necess\u00e1rio, sendo as vulnerabilidades no sistema operacional ou nos <a href=\"https:\/\/www.kaspersky.com.br\/blog\/genshin-driver-attack\/20052\/\" target=\"_blank\" rel=\"noopener\">drivers de dispositivo<\/a> as mais comuns.<\/p>\n<p>Outra maneira de entrar na RAM \u00e9 por meio de um <a href=\"https:\/\/www.kroll.com\/en\/insights\/publications\/cyber\/what-is-dma-attack-understanding-mitigating-threat\" target=\"_blank\" rel=\"noopener nofollow\">ataque DMA<\/a>. Esse tipo de ataque \u00e9 baseado no fato de que as interfaces de alta velocidade (USB 4.0, Thunderbolt, Firewire, etc.) t\u00eam acesso direto \u00e0 mem\u00f3ria para acelerar os processos de E\/S. Um dispositivo especialmente projetado pode abusar desse recurso para ler quaisquer bits de mem\u00f3ria. E esta n\u00e3o \u00e9 uma amea\u00e7a hipot\u00e9tica; houve casos reais (<a href=\"https:\/\/en.wikipedia.org\/wiki\/DMA_attack\" target=\"_blank\" rel=\"noopener nofollow\">FinFireWire<\/a>).<\/p>\n<p>Mas mesmo sem dispositivos sofisticados e vulnerabilidades, ainda \u00e9 poss\u00edvel! Como o sistema operacional grava o conte\u00fado da RAM em arquivos, as informa\u00e7\u00f5es contidas nele podem ser acessadas simplesmente pela leitura desses arquivos.<\/p>\n<p>Existem v\u00e1rios tipos de arquivos no Windows:<\/p>\n<ul>\n<li>Arquivos de troca tempor\u00e1rios (pagefile.sys)<\/li>\n<li>Arquivos de hiberna\u00e7\u00e3o salvos (hiberfil.sys)<\/li>\n<li>Falha e depura\u00e7\u00e3o de despejo de mem\u00f3ria (memory.dmp, minidump). E tais arquivos podem ser gerados <a href=\"https:\/\/learn.microsoft.com\/pt-br\/troubleshoot\/windows-client\/performance\/generate-a-kernel-or-complete-crash-dump\" target=\"_blank\" rel=\"noopener nofollow\">manualmente<\/a>.<\/li>\n<\/ul>\n<p>No Linux, a <em>troca<\/em> e a <em>hiberna\u00e7\u00e3o<\/em> usam uma parti\u00e7\u00e3o de disco dedicada compartilhada para essas finalidades.<\/p>\n<p>Conseguir passe livre para esses arquivos geralmente requer acesso f\u00edsico ao computador, mas n\u00e3o \u00e9 necess\u00e1rio conhecer as credenciais de login ou mesmo ligar a m\u00e1quina. Simplesmente \u00e9 poss\u00edvel remover o disco r\u00edgido e inseri-lo em outro computador.<\/p>\n<h2>Como prevenir um ataque na mem\u00f3ria<\/h2>\n<p>Como existem v\u00e1rias maneiras de invadir a mem\u00f3ria, voc\u00ea precisa se defender em v\u00e1rios n\u00edveis simultaneamente. Algumas prote\u00e7\u00f5es ser\u00e3o hostis ao usu\u00e1rio, portanto, antes de aplic\u00e1-las, considere os cen\u00e1rios de uso de cada computador em sua empresa e avalie os riscos.<\/p>\n<h3>A\u00e7\u00f5es diretas<\/h3>\n<p>Vamos come\u00e7ar com algumas medidas relativamente simples, que s\u00e3o recomendadas em todos os casos, sem exce\u00e7\u00e3o.<\/p>\n<ul>\n<li><strong>Implemente o princ\u00edpio do menor privil\u00e9gio<\/strong>. Todos os usu\u00e1rios devem trabalhar sem direitos de administrador. Mesmo os pr\u00f3prios aqueles profissionais que podem utiliz\u00e1-los para desenvolver trabalhos preventivos e rotinas de atualiza\u00e7\u00e3o, s\u00f3 devem receb\u00ea-los quando necess\u00e1rio para essas opera\u00e7\u00f5es.<\/li>\n<li><strong>Instale sistemas de prote\u00e7\u00e3o<\/strong> em todos os computadores f\u00edsicos e virtuais. As empresas devem ter <a href=\"https:\/\/www.kaspersky.com.br\/enterprise-security\/edr-security-software-solution?icid=br_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">sistemas EDR<\/a>. Certifique-se de que as pol\u00edticas de seguran\u00e7a evitem que os funcion\u00e1rios executem utilit\u00e1rios leg\u00edtimos, mas potencialmente perigosos, que podem ser usados \u200b\u200bpara escalonamento de privil\u00e9gios e despejo de mem\u00f3ria (Sysinternals, PowerShell, drivers redundantes\/desatualizados, etc.).<\/li>\n<li>Mantenha o Sistema Operacional e todas as aplica\u00e7\u00f5es essenciais <strong>atualizadas<\/strong>.<\/li>\n<li><strong>Certifique-se que o boot dos computadores esteja no modo UEFI, e n\u00e3o na BIOS<\/strong>. Atualize o firmware UEFI regularmente em todos os computadores.<\/li>\n<li><strong>Defina configura\u00e7\u00f5es seguras de UEFI<\/strong>. Desative a unidade de gerenciamento de mem\u00f3ria de entrada\/sa\u00edda (IOMMU) para evitar ataques de DMA. Proteja o UEFI com senha e defina a ordem correta de inicializa\u00e7\u00e3o do sistema operacional para reduzir os riscos de ser iniciado a partir de m\u00eddia maliciosa externa e as configura\u00e7\u00f5es serem alteradas para inseguras. Os recursos Secure Boot e Trusted Boot tamb\u00e9m impedem a execu\u00e7\u00e3o de c\u00f3digo n\u00e3o confi\u00e1vel do sistema operacional.<\/li>\n<\/ul>\n<h2>Medidas amb\u00edguas<\/h2>\n<p>Todas as medidas listadas nesta se\u00e7\u00e3o melhoram muito a seguran\u00e7a do sistema, mas \u00e0s vezes afetam negativamente o desempenho do computador, a facilidade de uso e\/ou a capacidade de recupera\u00e7\u00e3o diante de desastres. Cada um deles precisa de considera\u00e7\u00e3o cuidadosa no contexto de fun\u00e7\u00f5es espec\u00edficas dentro da empresa, e a implementa\u00e7\u00e3o requer precis\u00e3o e implanta\u00e7\u00e3o em fases com testes detalhados.<\/p>\n<ul>\n<li><strong>Armazenamento de chaves de hardware<\/strong> baseado em TPM 2.0 O Trusted Platform Module oferece autentica\u00e7\u00e3o segura do sistema operacional, usa biometria para entrar na conta e torna o processo de extra\u00e7\u00e3o de chaves mais dif\u00edcil. O TPM tamb\u00e9m aumenta muito a prote\u00e7\u00e3o oferecida pela criptografia de disco completo, pois suas chaves tamb\u00e9m s\u00e3o armazenadas no m\u00f3dulo. Potenciais armadilhas: falta de TPM em alguns computadores; combina\u00e7\u00f5es de SO\/hardware incompat\u00edveis; dificuldades com gerenciamento centralizado de chaves (devido a diferentes sistemas e vers\u00f5es de TPM).<\/li>\n<li><strong>Criptografia de disco completa<\/strong>. Essa medida reduz drasticamente o risco de vazamento de dados, principalmente de laptops perdidos ou roubados; por isso \u00e9 recomendado at\u00e9 para quem n\u00e3o tem muita preocupa\u00e7\u00e3o com ataques de mem\u00f3ria. A implementa\u00e7\u00e3o nativa da Microsoft \u00e9 o <a href=\"https:\/\/learn.microsoft.com\/pt-br\/windows\/security\/operating-system-security\/data-protection\/bitlocker\/\" target=\"_blank\" rel=\"noopener nofollow\">BitLocker<\/a>, mas tamb\u00e9m existem solu\u00e7\u00f5es de terceiros. A criptografia de disco completo (FDE, na sigla em ingl\u00eas) tamb\u00e9m se tornou parte de muitos sistemas baseados em Linux (por exemplo, no <a href=\"https:\/\/ubuntu.com\/core\/docs\/uc20\/full-disk-encryption\" target=\"_blank\" rel=\"noopener nofollow\">Ubuntu vers\u00e3o 20 e superior<\/a>) e geralmente \u00e9 baseada no <a href=\"https:\/\/www.redhat.com\/sysadmin\/disk-encryption-luks\" target=\"_blank\" rel=\"noopener nofollow\">LUKS<\/a>. Uma combina\u00e7\u00e3o de TPM e FDE oferece confiabilidade m\u00e1xima. <strong>Potenciais armadilhas<\/strong>: no caso de uma grande falha, nada pode ser restaurado da unidade. Portanto, um sistema de backup que funcione bem \u00e9 uma necessidade absoluta. \u00c0s vezes, h\u00e1 uma desacelera\u00e7\u00e3o percept\u00edvel no desempenho da unidade, especialmente ao inicializar o computador.<\/li>\n<li><strong>Desativa\u00e7\u00e3o do modo de repouso\/stanby<\/strong>. Se voc\u00ea desativar o modo de repouso e deixar apenas o modo de hiberna\u00e7\u00e3o, as situa\u00e7\u00f5es em que os invasores tiverem acesso a um computador inicializado e parcialmente descriptografado vulner\u00e1vel a ataques DMA e outros m\u00e9todos se tornar\u00e3o extremamente raras. A desvantagem dessa solu\u00e7\u00e3o tamb\u00e9m \u00e9 \u00f3bvia, pois o modo de repouso \u00e9 a maneira mais r\u00e1pida e conveniente de \u201cdesligar\u201d o computador ap\u00f3s o trabalho ou ao mudar de local no escrit\u00f3rio. Se voc\u00ea decidir seguir esse caminho, sempre implemente o FDE; caso contr\u00e1rio, os funcion\u00e1rios provavelmente usar\u00e3o a hiberna\u00e7\u00e3o que deixa o arquivo indefeso contra os ataques.<\/li>\n<li><strong>Desativando o modo de hiberna\u00e7\u00e3o<\/strong>. Se a hiberna\u00e7\u00e3o estiver desabilitada, uma imagem da mem\u00f3ria n\u00e3o pode ser copiada de um arquivo em um computador desligado. Para computadores cr\u00edticos, voc\u00ea pode desabilitar a hiberna\u00e7\u00e3o e a suspens\u00e3o; essas m\u00e1quinas s\u00f3 poder\u00e3o ser desligadas. Em combina\u00e7\u00e3o com FDE, TPM e outras medidas, haver\u00e1 poucas chances de ataques de mem\u00f3ria; mas a inconveni\u00eancia para os usu\u00e1rios seria consider\u00e1vel, ent\u00e3o vale a pena pensar seriamente em quais casos justificam tal abordagem.<\/li>\n<\/ul>\n<h2>Conversa franca<\/h2>\n<p>Se voc\u00ea decidir que desativar o modo de repouso ou hiberna\u00e7\u00e3o \u00e9 justificado por quest\u00f5es de seguran\u00e7a, considere cuidadosamente para quais usu\u00e1rios essa pol\u00edtica precisa ser aplicada. \u00c9 improv\u00e1vel que seja 100% dos funcion\u00e1rios; ou pelo menos aqueles que trabalham com informa\u00e7\u00f5es cr\u00edticas. Voc\u00ea deve explicar a eles que senhas e outros dados podem ser roubados de v\u00e1rias maneiras, ent\u00e3o medidas como \u201cuse um antiv\u00edrus\u201d e \u201cevite tais e tais sites\u201d n\u00e3o s\u00e3o suficientes para evitar incidentes graves de seguran\u00e7a.<\/p>\n<p>\u00c9 uma boa ideia dizer algumas palavras sobre cada medida de seguran\u00e7a \u2013 explicando sua finalidade aos colaboradores. A criptografia total de disco oferece prote\u00e7\u00e3o contra a simples c\u00f3pia de dados de um computador esquecido ou roubado, bem como contra os <a href=\"https:\/\/www.kaspersky.com\/blog\/evil-maid-attack\/37901\/\" target=\"_blank\" rel=\"noopener nofollow\">ataques da \u201cfuncion\u00e1ria malvada\u201d<\/a> \u2013 ou seja, um estranho com acesso f\u00edsico \u00e0 m\u00e1quina. Desativar a suspens\u00e3o e a hiberna\u00e7\u00e3o refor\u00e7a essas prote\u00e7\u00f5es, portanto, os cinco minutos extras necess\u00e1rios para ligar e desligar o computador ajudar\u00e3o a garantir que o profissional n\u00e3o seja o bode expiat\u00f3rio se a senha for usada em um ciberataque.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kasap\"><input type=\"hidden\" class=\"placeholder_for_banner\" data-cat_id=\"kasap\" value=\"14517\">\n","protected":false},"excerpt":{"rendered":"<p>O que pode ser roubado da RAM e o que o hiberfil.sys tem a ver com isso?<\/p>\n","protected":false},"author":2722,"featured_media":21499,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,1119,1655],"tags":[218,28,3179,350,3178,3087,102,690,2462,230],"class_list":{"0":"post-21495","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-business","9":"category-enterprise","10":"tag-ameacas","11":"tag-ataques","12":"tag-dumps","13":"tag-linux","14":"tag-memoria","15":"tag-ram","16":"tag-senhas","17":"tag-tecnologias","18":"tag-uefi","19":"tag-windows"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/how-to-protect-ram\/21495\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/how-to-protect-ram\/25844\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/how-to-protect-ram\/21285\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/how-to-protect-ram\/28542\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/how-to-protect-ram\/26143\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/how-to-protect-ram\/26487\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/how-to-protect-ram\/28964\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/how-to-protect-ram\/35642\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/how-to-protect-ram\/48518\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/how-to-protect-ram\/20793\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/how-to-protect-ram\/30302\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/how-to-protect-ram\/26456\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/how-to-protect-ram\/32153\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/how-to-protect-ram\/31837\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/ram\/","name":"RAM"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/21495","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2722"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=21495"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/21495\/revisions"}],"predecessor-version":[{"id":21502,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/21495\/revisions\/21502"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/21499"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=21495"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=21495"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=21495"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}