Cold-boot attack: szyfrowanie nie chroni
Naukowcy z Princeton University dowodzą, że szyfrowanie dysków twardych, które jest powszechnie stosowane do zabezpieczania danych, w pewnych warunkach zupełnie ich nie zabezpiecza. Akademicy zaprezentowali nowy typ ataku, który nazwali "cold-boot attack".
Sprawdza się on wówczas, gdy atakujący mają fizyczny dostęp do komputera pozostającego w trybie uśpienia. Wystarczy wówczas komputer wyłączyć, podłączyć do niego urządzenie, np. klips USB, z własnym systemem operacyjnym, ponownie włączyć maszynę i odczytać zawartość jej pamięci RAM, w której znajdują się klucze kryptograficzne. Naukowcy uzyskali w ten sposób dostęp do dysków chronionych popularnymi programami, takimi jak BitLocker, FileVault, dm-crypt i TrueCrypt.
Atak jest możliwy dlatego, że w przeciwieństwie do powszechnie panującej opinii, zawartość pamięci RAM nie znika natychmiast po odłączeniu zasilania. Dane mogą pozostawać w niej nawet przez kilkadziesiąt sekund, co daje atakującemu czas na ich odczytanie. Co więcej, możliwe jest przedłużenie czasu przechowywania informacji przez RAM. Atakujący musi jedynie schłodzić układy pamięci. W tym celu można wykorzystać sprężone powietrze w puszkach, dostępne w większości sklepów komputerowych. Przeprowadzone eksperymenty wykazały, że dobrze schłodzony układ pamięci można nawet wyjąć z komputera bez utraty zawartych w nim danych. Akademicy sprawdzili też, co się stanie, gdy kość wrzucą do pojemnika z ciekłym azotem. Okazało się, że po godzinie od wyłączenia zasilania z takiego układu wciąż można odczytać wszystkie informacje. Możliwe więc, że chłodzenie azotem zapobiega utracie danych przez wiele dni.
Liczba błędów w danych przechowywanych w układach RAM po odłączeniu zasilania na od 60 do 600 sekund wahała się od 41 do 50 procent wówczas, gdy kości były przechowywane w temperaturze pokojowej. Natomiast gdy układy schłodzono do temperatury -50 stopni Celsjusza, liczba błędów wahała się od 0% do 0,18%.
Badania naukowców z Princeton dowodzą, że jeśli w ręce przestępców dostanie się włączony komputer, szyfrowanie dysku twardego nie zabezpieczy danych, gdyż możliwe jest wydobycie przechowywanych w pamięci RAM kluczy kryptograficznych. Akademicy nie wiedzą, w jaki sposób można zabezpieczyć się przed tego typu atakiem.
Na stronach Princeton University udostępniono plik PDF ze szczegółowymi wynikami badań.
Komentarze (7)
mc, 31 lipca 2008, 18:00
"Akademicy nie wiedzą, w jaki sposób można zabezpieczyć się przed tego typu atakiem."
Zadbać aby przez minutę po wyłączeniu komputer nie wpadł w łapy hakera
Mariusz Błoński, 31 lipca 2008, 18:27
Niewykonalne. Nie dopilnujesz tysięcy pracowników wielkiej firmy, by każdy z nich, odchodząc na chwilę od laptopa w pracy, na konferencji, zlocie, szkoleniu, w pociągu, samolocie, lotnisku itp. itd. wyłączał go i czekał przez kilka minut, tylko po to, by pójść do toalety czy wyrzucić ogryzek, a później by wracał i ponownie restartował system.
kwiateusz, 31 lipca 2008, 19:05
jezus maria, stare to jak świat chyba z pol roku temu to ogladalem... (duzo sie nie pomyslilem filmik ma 5 miesiecy )
syzu, 31 lipca 2008, 19:17
Możliwe, że jedyną metodą jest ładowanie klucza przy każdej weryfikacji uprawnień i wyładowanie go po sprawdzeniu uprawnień. Oczywiście z zewnętrznego nośnika, który mamy przy sobie.
Opis przedstawiony w newsie przypomina zostawianie klucza w drzwiach, gdy jesteśmy w domu. Dobrą metodą mogłoby być chowanie go po prostu do kieszeni w postaci przenośnej pamięci, która i tak musiałaby być szyfrowana?
Zaczyna przypominać panikę i szyfrowanie zaszyfrowanego pliku klucza, żeby dostać się do zaszyfrowanych danych.. Bezsens.
Chodzi o to, że nie ma idealnego sposobu na zatajenie informacji. Kiedyś wydawało się, że napisanie na kartce, zapamiętanie i spalenie jej rodem z filmów załatwia sprawę. Dziś uważamy, że najlepiej informacje jest zapamiętać, gdyż to właśnie w głowie są bezpieczne a za niedługo jedyną bezpieczną metodą przechowywania tajnych spraw będzie po prostu nie posiadanie ich nawet we własnej głowie. I nie mam tu namyśli przestarzałych tortur czy prania mózgu. Ciekawe czy informacje gdyby można było odczytać z umysłu, to czy dałoby radę z osoby zmarłej np. przed 30 minutami jeśli za życia spryskałoby się jej głowę azotem w sprayu?
azzzzz, 1 sierpnia 2008, 11:42
wystarczy zeby do odszyfrowania oprocz hasla byl tez potrzebny jakis plik, ktory osoba ma na "penie"
thikim, 1 sierpnia 2008, 22:03
W takim wypadku to ktoś by po prostu ten laptop wziął a nie bawił się w kradzież pamięci...
Tu powinno pisać:"ponownie włączyć maszynę bootując system z USB lub CD". Ano właśnie musi być możliwość bootowania stamtąd włączona w BIOS, inaczej w ten sposób ataku nikt nie wykona.Trzeba wtedy bardziej kombinować i rozbierać nawet komputer.
A nie prościej uruchomić program do odczytu pamięci bez wyłączania komputera? Oczywiście może być sytuacja że komputer jest zabezpieczony przed używaniem poprzez inne hasło, ale generalnie to prostsza metoda.
Gość tymeknafali, 2 sierpnia 2008, 04:37
Możesz jeszcze wyjmować RAM po każdym wyjściu sprzed kompa.