Objavljen članek z več podrobnostmi o "cold-boot" napadu
Matej Kovačič
28. dec 2008 ob 21:03:43
Kot smo pred časom že poročali. je skupina devetih ameriških raziskovalcev v začetku leta odkrila nov način kraje šifrirnih gesel. Raziskovalci so namreč ugotovili, da se vsebina pomnilniških DRAM modulov ne izgubi v trenutku, ko računalnik ugasnemo, pač pa se počasi "ugaša" z časom. Tako je vsebino delovnega pomnilnika RAM mogoče prebrati še nekaj sekund, do celo nekaj ur po tem (opisujejo tudi primer, ko je vsebina v RAM-u brez osveževanja obstala kar cel teden), ko je bil računalnik ugasnjen. Mimogrede, preskus napada smo v nekoliko poenostavljeni obliki izvedli tudi v Sloveniji.
Te dni pa je bil na CCC konferenci o tem objavljen tudi članek, ki prinaša še več podrobnosti o napadu. Raziskovalci v članku predstavljajo postopke za identifikacijo lokacije in pridobitev šifrirnih gesel šifrinih mehanizmov BitLocker (Vista), TrueCrypt (Linux) in FileVault (Mac OS) po tem, ko so bili računalniki ugasnjeni.
Raziskovalci v članku ugotavljajo, da se tim. bitni razpad podatkov pri novejših RAM-ih odvija hitreje, kot pri starejših, kljub temu pa je ta čas mogoče podaljšati s hlajenjem RAM modulov, predstavili pa so tudi algoritme in tehnike za popravljanje napak bitnega razpada, s katerimi je mogoče rekonstruirati šifrirne ključe tudi v primeru, ko je bitno razpadlo že kar nekaj vsebine pomnilnika.
Za zajem vsebine RAMa je mogoče uporabiti več metod: modificiran PXE zaganjalnik, EFI netboot zaganjalnik, zagon s pomočjo USB (ali CD) medija ter zagon s pomočjo iPoda, pri čemer je mogoče računalnik ponovno zagnati ali pa RAM module prenesti v drug računalnik.
Na koncu članka avtorji predlagajo še nekaj ukrepov za izboljšanje varnosti žal pa zaključijo precej pesimistično in sicer z ugotovitvijo, da DRAM pomnilnik sicer ni varno mesto za hrambo šifrirnih ključev, vendar ob trenutni arhitekturi računalniških sistemov drugega mesta za varnejšo hrambo šifrirnih ključev preprosto - ni.