Atacul cu boot rece aduce aminte de toate

Metoda se bazează pe capacitatea de memorie aleatorie de acces (DRAM) pentru un timp
Salvați informații după oprirea alimentării și fără impulsuri de regenerare
conținutul său. Practic toată lumea știe că memoria pierde toate informațiile
atunci când alimentarea este oprită. Cu toate acestea, acest lucru nu este în întregime adevărat. Studiile au arătat acest lucru
DRAM fără energie poate stoca informații de la
câteva secunde până la câteva minute. Aceasta permite atacatorului să citească
conținutul său prin simpla oprire și pornire a calculatorului și apoi difuzarea propriilor
sistem de operare.

Interesant, cu cât este mai mică temperatura, cu atât mai mult datele sunt stocate, de exemplu,
după ce a scos cipul și a pus-o în azot lichid (-196 grade C), datele au fost
numărați în câteva ore. La o temperatură de -50 grade, datele sunt stocate
mai mult de 10 minute. În condiții normale, după terminarea regenerării, memoria DRAM
își stochează conținutul de la câteva secunde până la câteva minute.

Rezultatele cercetării au arătat că după repornirea computerului și pornirea calculatorului
carduri flash sau pur și simplu au primit un cip de memorie de la o mașină de lucru, printre conținut
memorie nu este dificil să dezvălui cheile de criptare ale unor astfel de sisteme ca BitLocker, FileVault,
dm-crypt și TrueCrypt, alte informații confidențiale.

Punerea unui experiment pe propriul computer nu este dificilă
fiecare.

1. Creați un program în Python care se înfundă
memorie cu cuvântul "ARGON".

#! / usr / bin / env Python
# un element chimic favorit al piratului
a = ""
în timp ce 1: a + = "ARGON"

2. Rulați sincronizarea pentru a reseta orice memorie cache
date pe disc.

3. Lansați programul creat în primul paragraf și lăsați-l să funcționeze
câteva minute. Nu afișează nimic, dar în funcție de activitatea discului se va vedea
Memoria este umplută cu date care vor fi copiate pe disc.

4. Lăsați fără griji sistemul pur și simplu oprind alimentarea și apoi porniți-l din nou.

5. După repornire, căutați cuvântul "ARGON" în memorie. De exemplu:

semnalele sudo / dev / mem | mai puțin

Dacă vedeți o copie a liniei, atunci orice parte a memoriei a supraviețuit când
repornire. Dacă nu există date în memorie, atunci mai multe
variante ale opțiunii: calculatorul costă ECC (corectarea erorilor) și RAM
eliminat la boot; BIOS pe oricare altul
determină ștergerea memoriei la momentul încărcării (puteți să dezactivați testul de memorie sau să îl porniți)
Modul de pornire rapidă); Timpul de inactivitate fără energie era prea mare pentru asta
temperatură, încercați să răciți memoria sau să micșorați timpul de repornire.

Distribuiți acest articol cu ​​prietenii dvs.:

Articole similare