29Jun
Geek często traktuje szyfrowanie jako niezawodne narzędzie, które zapewnia, że dane pozostają tajne. Ale bez względu na to, czy zaszyfrujesz dysk twardy komputera, czy pamięć smartfona, możesz być zaskoczony, że szyfrowanie może zostać ominięte w niskich temperaturach.
Jest mało prawdopodobne, że twoje osobiste szyfrowanie zostanie ominięte w ten sposób, ale ta luka może zostać wykorzystana do szpiegostwa korporacyjnego lub przez rządy do uzyskania dostępu do danych podejrzanych, jeśli podejrzany odmówi ujawnienia klucza szyfrowania.
Jak działa szyfrowanie na pełnym dysku
Niezależnie od tego, czy używasz funkcji BitLocker do szyfrowania systemu plików Windows, wbudowanej funkcji szyfrowania systemu Android do szyfrowania pamięci smartfona, czy dowolnej liczby innych rozwiązań szyfrowania na pełnym dysku, działa każdy typ rozwiązania szyfrowaniapodobnie. Dane
są przechowywane w pamięci urządzenia w zaszyfrowanym, pozornie zaszyfrowanym formularzu. Po uruchomieniu komputera lub smartfona pojawi się monit o hasło szyfrujące. Urządzenie przechowuje klucz szyfrowania w swojej pamięci RAM i używa go do szyfrowania i odszyfrowywania danych tak długo, jak długo urządzenie pozostaje włączone.
Zakładając, że w urządzeniu ustawiono hasło blokady ekranu, a osoby atakujące nie mogą tego odgadnąć, będą musiały ponownie uruchomić urządzenie i uruchomić komputer z innego urządzenia( na przykład dysku flash USB), aby uzyskać dostęp do danych. Jednak gdy urządzenie się wyłączy, zawartość jego pamięci RAM zniknie bardzo szybko. Gdy zawartość pamięci RAM zniknie, klucz szyfrujący zostanie utracony, a osoby atakujące będą potrzebować Twojego hasła szyfrującego w celu odszyfrowania danych.
W ten sposób ogólnie zakłada się, że szyfrowanie działa, i dlatego inteligentne korporacje szyfrują laptopy i smartfony za pomocą wrażliwych danych.
Data Remanence w pamięci RAM
Jak wspomniano powyżej, dane znikają z pamięci RAM bardzo szybko po wyłączeniu komputera, a pamięć RAM traci moc. Osoba atakująca może spróbować szybko zrestartować zaszyfrowanego laptopa, uruchomić komputer z pamięci USB i uruchomić narzędzie, które kopiuje zawartość pamięci RAM w celu wyodrębnienia klucza szyfrowania. Jednak zwykle to nie zadziała. Zawartość pamięci RAM zniknie w ciągu kilku sekund, a atakujący nie będzie miał szczęścia.
Czas potrzebny na zniknięcie danych z pamięci RAM można znacznie wydłużyć, chłodząc pamięć RAM.Naukowcy przeprowadzili udane ataki na komputery wykorzystujące szyfrowanie BitLocker firmy Microsoft, rozpylając puszkę odwróconego sprężonego powietrza na RAM, doprowadzając ją do niskiej temperatury. Niedawno naukowcy umieścili telefon z Androidem w zamrażarce na godzinę, a następnie mogli odzyskać klucz szyfrujący z pamięci RAM po jego zresetowaniu.(Do tego ataku musi zostać odblokowany program ładujący, ale teoretycznie możliwe jest usunięcie pamięci RAM telefonu i przeanalizowanie jej.)
Po skopiowaniu zawartości RAM lub "porzuceniu jej" do pliku, można jeautomatycznie analizowane w celu zidentyfikowania klucza szyfrowania, który umożliwi dostęp do zaszyfrowanych plików.
Jest to tak zwany "atak zimnego rozruchu", ponieważ polega on na fizycznym dostępie do komputera w celu pobrania kluczy szyfrujących pozostających w pamięci RAM komputera.
Jak zapobiegać zimnym atakom
Najłatwiejszym sposobem na uniknięcie ataku przez zimny start jest upewnienie się, że klucz szyfrowania nie znajduje się w pamięci RAM komputera. Na przykład, jeśli masz firmowy laptop pełen poufnych danych i obawiasz się, że może on zostać skradziony, wyłącz go lub przełącz do trybu hibernacji, kiedy go nie używasz. Spowoduje to usunięcie klucza szyfrowania z pamięci RAM komputera. Po ponownym uruchomieniu komputera pojawi się monit o ponowne wprowadzenie hasła. Natomiast przełączenie komputera w tryb uśpienia pozostawia klucz szyfrowania pozostały w pamięci RAM komputera. To naraża komputer na ryzyko ataków z zimnym startem.
"Specyfikacja dotycząca łagodzenia ataków typu" złego ataku na platformę TCG "jest odpowiedzią branży na tę obawę.Ta specyfikacja wymusza na BIOSie urządzenia nadpisanie pamięci podczas rozruchu. Jednak moduły pamięci urządzenia mogły zostać usunięte z komputera i przeanalizowane na innym komputerze, omijając ten środek bezpieczeństwa. Obecnie nie istnieje żaden bezpieczny sposób na zapobiegnięcie temu atakowi.
Czy naprawdę musisz się martwić?
Jako geek warto rozważyć teoretyczne ataki i sposoby ich powstrzymania. Ale bądźmy szczerzy: większość ludzi nie będzie musiała przejmować się tymi atakami zimnego rozruchu. Rządy i korporacje posiadające wrażliwe dane do ochrony będą chciały znieść ten atak, ale przeciętny geek nie powinien się tym przejmować.
Jeśli ktoś naprawdę chce twoich zaszyfrowanych plików, prawdopodobnie spróbuje wydobyć z ciebie klucz szyfrowania, zamiast próbować ataku na zimny rozruch, który wymaga więcej wiedzy.
Image Credit: Frank Kovalcheck na Flickr, Alex Gorzen na Flickr, Blake Patterson na Flickr, XKCD
