29Jun
Geeks beschouwt versleuteling vaak als een fool-proof tool om ervoor te zorgen dat gegevens geheim blijven. Maar of u nu de harde schijf van uw computer of de opslag van uw smartphone versleutelt, u zult verrast zijn te weten dat de codering bij koude temperaturen kan worden omzeild.
Het is onwaarschijnlijk dat uw persoonlijke codering op deze manier wordt omzeild, maar deze kwetsbaarheid kan worden gebruikt voor bedrijfsspionage of door overheden om toegang te krijgen tot de gegevens van verdachten als de verdachte weigert de coderingssleutel vrij te geven.
Hoe volledige-schijfversleuteling werkt
Of u nu BitLocker gebruikt om uw Windows-bestandssysteem te versleutelen, Android's ingebouwde coderingsfunctie om de opslag van uw smartphone te versleutelen of een willekeurig aantal andere full-disk encryptie-oplossingen, elk type coderingsoplossing werktop vergelijkbare wijze.
Gegevens worden opgeslagen in de opslag van uw apparaat in een gecodeerde, schijnbaar gecodeerde vorm. Wanneer u uw computer of smartphone opstart, wordt u gevraagd om de coderingswachtwoord. Uw apparaat bewaart de coderingssleutel in zijn RAM-geheugen en gebruikt het om gegevens te versleutelen en decoderen zolang uw apparaat ingeschakeld blijft.
Ervan uitgaande dat u een wachtwoord voor het wachtwoord op uw apparaat hebt ingesteld en aanvallers kunnen het niet raden, moeten ze uw apparaat opnieuw opstarten en opstarten vanaf een ander apparaat( zoals een USB-flashstation) om toegang te krijgen tot uw gegevens. Wanneer uw apparaat echter uitschakelt, verdwijnt de inhoud van zijn RAM zeer snel. Wanneer de inhoud van de RAM verdwijnt, is de coderingssleutel verloren en hebben de aanvallers uw coderingswachtwoord nodig om uw gegevens te decoderen.
Zo wordt algemeen aangenomen dat codering werkt, en daarom coderen slimme bedrijven laptops en smartphones met gevoelige gegevens erop.
Data Remanence in RAM
Zoals we hierboven al vermeldden, verdwijnt data zeer snel uit het RAM nadat de computer is uitgeschakeld en het RAM vermogen verliest. Een aanvaller kan proberen een gecodeerde laptop snel opnieuw op te starten, vanaf een USB-stick op te starten en een hulpprogramma uitvoeren dat de inhoud van het RAM-geheugen kopieert om de coderingssleutel te extraheren. Dit zou echter normaal gesproken niet werken. De inhoud van de RAM is binnen enkele seconden verdwenen en de aanvaller heeft pech.
De tijd die nodig is om gegevens uit het RAM-geheugen te laten verdwijnen, kan aanzienlijk worden verlengd door de RAM te koelen. Onderzoekers hebben succesvolle aanvallen op computers uitgevoerd met de BitLocker-codering van Microsoft door een bus met omgekeerde perslucht op de RAM te spuiten en op lage temperaturen te brengen. Onlangs plaatsten onderzoekers een Android-telefoon een uur in de vriezer en konden ze vervolgens de coderingssleutel uit het RAM-geheugen herstellen na het opnieuw instellen ervan.(De bootloader moet worden ontgrendeld voor deze aanval, maar het zou theoretisch mogelijk zijn om het RAM van de telefoon te verwijderen en het te analyseren.)
Zodra de inhoud van het RAM gekopieerd of "gedumpt" is naar een bestand, kunnen zeautomatisch geanalyseerd om de coderingssleutel te identificeren die toegang tot de gecodeerde bestanden zal verlenen.
Dit wordt een "cold-boot-aanval" genoemd omdat het afhankelijk is van fysieke toegang tot de computer om de coderingssleutels die in de RAM van de computer zijn achtergebleven te pakken.
Hoe Cold-Boot-aanvallen te voorkomen
De eenvoudigste manier om een aanval tegen een koude aanval te voorkomen, is door ervoor te zorgen dat uw coderingssleutel niet in het RAM-geheugen van uw computer staat. Als u bijvoorbeeld een zakelijke laptop vol met gevoelige gegevens hebt en u bent bang dat deze wordt gestolen, schakelt u deze uit of zet u hem in de slaapstand wanneer u deze niet gebruikt. Hiermee wordt de coderingssleutel uit het RAM-geheugen van de computer verwijderd. U wordt gevraagd uw wachtwoordzin opnieuw in te voeren wanneer u de computer opnieuw opstart. Als u de computer daarentegen in de slaapstand zet, blijft de coderingssleutel achter in het RAM-geheugen van de computer. Dit zet je computer op het risico van cold-boot aanvallen.
De "TCG Platform Reset Attack Mitigation Specification" is een reactie van de industrie op deze bezorgdheid. Deze specificatie dwingt het BIOS van een apparaat om zijn geheugen tijdens het opstarten te overschrijven. De geheugenmodules van een apparaat kunnen echter van de computer worden verwijderd en op een andere computer worden geanalyseerd, waarbij deze beveiligingsmaatregel wordt omzeild. Er is momenteel geen fool-proof manier om deze aanval te voorkomen.
Moet u zich echt zorgen maken?
Als geeks is het interessant om theoretische aanvallen te overwegen en hoe we ze kunnen voorkomen. Maar laten we eerlijk zijn: de meeste mensen hoeven zich geen zorgen te maken over deze cold-boot-aanvallen. Regeringen en bedrijven met gevoelige gegevens om te beschermen, willen deze aanval in gedachten houden, maar de gemiddelde nerd moet zich hier geen zorgen over maken.
Als iemand echt je gecodeerde bestanden wil, zullen ze waarschijnlijk proberen je encryptiesleutel uit je te halen in plaats van een aanval op een koude aanval uit te voeren, waarvoor meer expertise vereist is.
Image Credit: Frank Kovalcheck op Flickr, Alex Gorzen op Flickr, Blake Patterson op Flickr, XKCD