“冷啟動攻擊”復活 所有計算機都可從內存中恢復敏感數據
作者:星期一, 九月 17, 20180

冷啟動(Cold Boot)攻擊屬于一種邊信道攻擊方法,可以物理接觸到計算機的攻擊者能夠運用這種攻擊手段在冷啟動或硬盤重啟之后,比如計算機沒經歷正常的關機過程就突然重啟時,從計算機的內存(RAM)中獲取加密密鑰、口令和其他數據。斷電后內存中的數據能維持幾十秒或數分鐘,但通過液氮或壓縮空氣冷凍,這一數據衰減過程可被攻擊者拉長至數小時之久。

冷啟動攻擊10年前就出現了,計算機制造商通過實現系統重啟時重寫內存數據的機制來防止這種攻擊。

利用現代計算機固件中發現的漏洞,他們可以復活冷啟動攻擊。由于該方法要求能物理接觸到目標設備,更容易被盜的筆記本電腦就了這種攻擊的理想目標。

據稱,研究人員發現的漏洞影響多家主流供應商,包括戴爾、聯想和蘋果。F-Secure已向英特爾、蘋果和微軟等公司報告了其研究結果,但稱修復不易。

攻擊者可以通過修改設備硬件來禁用重啟時重寫內存的功能,并將計算機設置成從外部設備啟動。然后,攻擊者就可以用特別制作的U盤對計算機進行冷啟動了。該U盤上的惡意軟件可以幫攻擊者將預啟動內存中的數據轉儲到一個文件里。

實際操作顯然沒那么簡單,但我們不應忽視可能已經有黑客發現并利用該漏洞的事實。低端黑客自然不會用這種方式去啃硬骨頭,但如果是想要大賺一筆的高端黑客呢?比如想要侵入銀行或大公司的網絡犯罪組織,或者想要竊取情報的網絡間諜?


 

在永久修復推出之前,用戶可以將自己的設備配置為不使用時就關機或者休眠,不要采用睡眠選項。對于Windows計算機,可以設置無論設備何時啟動都要求輸入BitLocker硬盤加密器的PIN碼。

即便實施了上述方法,冷啟動攻擊依然有乘隙而入的空間,但至少可以保證內存中沒留下有價值的數據。

接到F-Secure的通告后,微軟更新了其BitLocker應對措施頁面,增加了如何緩解冷啟動攻擊的說明。蘋果稱,采用T2芯片的Mac機包含了應能抵御冷啟動攻擊的安全機制,并建議使用其他代系設備的用戶設置固件密碼。

專家建議公司企業設立設備丟失相關的事件響應計劃。

能夠無效化訪問憑證的快速響應,可以大幅降低被盜筆記本電腦對攻擊者的價值。IT安全及事件響應團隊應演練設備被盜場景,確保公司員工在設備丟失或被盜時能及時通知IT部門。為安全事件做好應對準備,總比假設電腦不會被黑客親身染指要靠譜些。

相關閱讀

如何發現防不勝防的邊信道攻擊?

黑客突破物理隔離的8種方法

從物理隔離設備上竊取密鑰的方法(附:邊信道攻擊大全)

 

分享:

相關文章

寫一條評論

 

 

0條評論