it-swarm-eu.dev

Den vorherigen Inhalt von RAM von einem ausgeschalteten PC wiederherstellen?

Ich habe gehört, dass ein Angreifer, wenn Ihr PC ausgeschaltet ist, die RAM aus der letzten Sitzung) wiederherstellen kann. Ich kann das kaum glauben. Wie könnte das gemacht werden?

28
wisdom

Es gibt ein Element der Wahrheit in diesem - es wurde ein Angriff entdeckt, der die Remanenz von Daten im RAM ausnutzte und es einem Angreifer ermöglichte, Daten aus dem RAM in einem Computer) abzurufen. Es gab einen sehr kurzen Zeitrahmen (eine Frage von Sekunden oder Minuten), in dem dies zu tun ist, aber es war kein Hack des PCs als solchem.

Einfacher Wikipedia-Link zu Cold Boot Attack hier

Und das McGrew Link hier gibt mehr Details

32
Rory Alsop

Ja, aber der Begriff "ausgeschaltet" kann verwirrend sein.

Ein Computer benötigt Strom, um zu laufen, das wissen Sie. Ein PC wird über Wechselstrom (Wechselstrom) von der Wand gespeist, Computerteile benötigen jedoch DC (Gleichstrom). Im Inneren des Desktop-PCs befindet sich ein Netzteil, das Wechselstrom in Gleichstrom umwandelt. Solange der Desktop-PC an die Wand angeschlossen ist, wird er immer mit Strom versorgt.

In den frühen Tagen hatte ein PC ein AT-Netzteil mit einem Schalter an der Vorderseite. Das Netzteil vom Typ 'AT' hatte einen Druckknopfschalter, der die DC Stromversorgung stoppte. Das Problem dabei war, dass Benutzer den Computer ausschalteten, während er auf die Festplatte schrieb. Wenn Sie die Stromversorgung während des Schreibens der Festplatte ausschalten, wird die Festplatte beschädigt.

Die nächste Iteration des PC-Designs hatte also eine ATX Stromversorgung. Bei diesem Design wurde das an das Motherboard angeschlossene Netzteil und der Schalter an der Vorderseite des PCs mit dem Motherboard verbunden. Für das ATX Design, das den Aus-Schalter drückt, wird ein Signal an das Motherboard gesendet, das Betriebssystem liest das Signal auf dem Motherboard und sendet ein Signal an die Stromversorgung.

Das Netzteil verfügt über mehrere DC Ausgänge. Die Festplatte (und die Diskette) verwendeten 12 Volt. Die CPU benötigte 5 Volt und später 3,3 Volt. Die verschiedenen Spannungen sind unabhängig voneinander, sodass verschiedene Teile des Computers ausgeschaltet werden können, während andere Teile eingeschaltet sind.

Wenn Sie den Netzschalter am vorderen Rand des PCs drücken oder das Betriebssystem ausschalten auswählen, sind immer mindestens eine oder zwei Komponenten mit Strom versorgt. Zumindest der Stromkreis auf dem Motherboard, der das Netzschaltersignal empfängt und an das Netzteil weiterleitet, muss mit Strom versorgt werden und ist so lange, wie der PC an die Wand angeschlossen ist.

Die fragliche Komponente ist das RAM (tatsächlich DRAM), und es ist nicht leicht zu erkennen, ob die Stromversorgung des RAM ausgeschaltet ist oder welche Methode zum Ausschalten des Computers das beendet Stromversorgung des RAM.

Die einzige Möglichkeit, absolut sicher zu sein, dass das RAM nicht mit Strom versorgt wird, besteht darin, den PC von der Wand zu trennen.

Solange das RAM mit Strom versorgt wird, behält das RAM den Inhalt dessen, was zuletzt darin war.

Wenn RAM vom Stromnetz getrennt wird, beginnen die Inhalte zu verfallen und werden irgendwann unlesbar. Die Temperatur hat Einfluss darauf, wie schnell die Daten im RAM abfallen. Durch Verringern der Temperatur wird der Zerfall der Daten verlangsamt. Mit einem einfachen, auf den Kopf gestellten Staubwedel aus der Dose kann ein Angreifer das RAM auf eine Temperatur abkühlen, die es ihm ermöglicht, den Computer mit einem benutzerdefinierten Betriebssystem neu zu starten, mit dem der Inhalt des RAM extrahiert werden kann.

Für diesen Angriff sind nur ein bootfähiges CD/DVD- oder USB-Flash-Laufwerk und ein Staubwedel in Dosen erforderlich.

9
this.josh

Das RAM in einem PC ist DRAM : Jedes Bit wird in einem sehr kleinen Kondensator gespeichert, der leckt. Deshalb muss DRAM regelmäßig "aktualisiert" werden. Ein typischer DRAM hält garantiert ein bestimmtes Bit mindestens 64 ms lang, aber in der Praxis kann ein bestimmtes Bit je nach Temperatur längere Zeit bis zu mehreren Minuten verweilen.

Siehe nten auf der Wikipedia-Seite für Details.

Außerdem verfügen viele Computer (Desktops und Laptops) über einen "Ruhemodus", in dem die CPU ausgeschaltet ist, das RAM jedoch weiterhin mit Strom versorgt wird. Dies ist der Modus, aus dem die Maschine "geweckt" werden kann, ohne den gesamten Startvorgang zu durchlaufen. Es scheint, dass echte Abschaltungen heutzutage eine Seltenheit geworden sind. In einem solchen Modus bleiben die Inhalte von [RAM per Definition erhalten, wodurch die obigen "mehrere Minuten" auf beliebige Zeiträume ausgedehnt werden.

8
Tom Leek

Ich würde vorschlagen, dass Sie sich diese beiden Artikel ansehen. Sie sind ziemlich technisch, erklären aber viel auf niedriger Ebene.

  1. Peter Gutmann, Datenreste in Halbleiterbauelementen
  2. Peter Gutmann, Sicheres Löschen von Daten aus dem Magnet- und Festkörperspeicher

Wenn Sie auch nach einer Gegenmaßnahme suchen, würde ich vorschlagen

  1. TRESOR führt die Verschlüsselung sicher außerhalb des RAM aus
3
ArekBulski

Ich habe den Cold Boot Attack schon einmal persönlich durchgeführt, er funktioniert definitiv. Ich bezog mich hauptsächlich auf das eigentliche Princeton Coldboot Paper sowie das McGrew Link

Ich habe Trockeneis verwendet, Vorsicht vor Kondensation (Tuch zum Abwischen mit Taschentüchern), da das RAM kälter als die Umgebungsluft ist. Der Zeitrahmen für das Ziehen und Einstecken des RAM beträgt ca. 5-15 Sekunden.

2
John