今天我正在觀看有關“道德黑客”的視頻,在討論硬件攻擊時,敘述者說:
從台式機或筆記本電腦中刪除RAM或組件
我了解刪除存儲驅動器之類的內容會帶來安全風險,但會刪除 RAM?它所能做的最大事情就是降低系統速度,但是那還會帶來安全風險嗎?
今天我正在觀看有關“道德黑客”的視頻,在討論硬件攻擊時,敘述者說:
從台式機或筆記本電腦中刪除RAM或組件
我了解刪除存儲驅動器之類的內容會帶來安全風險,但會刪除 RAM?它所能做的最大事情就是降低系統速度,但是那還會帶來安全風險嗎?
在許多情況下,RAM用於存儲敏感的非持久性信息。加密密鑰將是一個常見示例。
有時可以刪除RAM並將其放置到另一個設備中以傾倒內容-通常是在液氮的幫助下。
有關更多信息,請參見有關冷啟動攻擊的維基百科文章。
如果您登錄某處(例如在瀏覽器或某些應用程序中),則您輸入的密碼會臨時存儲在RAM中,以便與正確的密碼進行比較。大多數應用程序都假定RAM是安全的,並且不會清除所有內容,因此RAM內存中包含密碼和對隱私敏感的數據可能會(而且經常如此)發生。
現在據說RAM會丟失功率損失,但它的速度如此之慢且可預測,足以為攻擊者提供時間窗,使攻擊者可以閱讀所看內容。這稱為冷啟動攻擊。
在沒有更多上下文的情況下,它還不是很清楚,但是與上面的內容(“竊取設備”,而不是“ ...存儲設備/計算機”)結合使用時,它們可能是指簡單的盜竊行為。這是幾年前RAM價格高昂時的一個問題-它非常便於移植。
或者,盜竊DOS可能是一個問題。相同的幻燈片提到“ 切割光纖主幹”,它將阻止通信,而不是“闖入”光纖,而光纖更可能意味著竊聽。當然,如果在電纜斷裂或設備失竊的情況下進行恢復的過程不如主線過程安全,則可能會導致數據丟失。
刪除RAM可能會迫使系統進行更多交換,因此,存儲在RAM中的敏感信息寫入硬盤的可能性很小,但機會更大,
根據系統的工作,凍結RAM並將其轉儲以進行分析可能會有很多價值。
RAM的形狀多種多樣-許多類型的服務器都具有特殊的RAM,其中包含奇偶校驗位,因此在RAM之上,並不是立即“忘記”一個塊中記錄的最後一個東西,實際上它要更多如果您真的很想恢復該RAM上的內容,則可能會發生-鑑於服務器RAM是為具有錯誤保護功能而相對於家庭用戶RAM而構建的,則可能性更大。
如果攻擊者知道他們在尋找什麼,則攻擊的類型將非常專注於特定任務。因此,這可能是竊聽線路,竊取硬件,植入鍵盤記錄程序等。但是絕對有可能在RAM上竊取內存-分析是一團糟,但是如果您計劃搶劫以竊取RAM,則可能有人擁有從中獲利的技術知識。
幻燈片中提到這些是物理攻擊媒介。我不知道滑蓋的全部內容,但是即使只是從系統中刪除RAM也會使應用程序或系統崩潰。
大多數物理或網絡攻擊的目的是破壞服務,竊取信息或獲取長期的惡作劇(殭屍網絡等)的後門訪問權限。雖然理論上可以從剛剛拔出的RAM中竊取數據,但我認為此處更大的威脅更多是拒絕服務攻擊。
如果攻擊者可以獲得對服務器的物理訪問權,則竊取對該服務器的運行至關重要的RAM可能會導致服務器發生故障。如果您盜用了所有內存,它不僅會降低系統的速度,而且會完全阻止系統正常運行。再說一次,僅盜用關鍵系統中的某些RAM會更加離散,如果不引起注意,操作員可能會很難識別系統故障的根本原因(尤其是如果系統嚴重依賴於RAM,例如-內存數據庫應用程序,例如TimesTen DB)。
當然,要點本身可以擴展到對硬件本身的任何物理攻擊,但是對於只有短暫時間的攻擊者而言,竊取RAM可能是最離散且最容易獲得物理媒介的訪問硬件的機會之窗。
只需重申其他人的觀點,您不僅可以通過移除所有內存來關閉服務器或設備,還可以竊取加密密鑰。該過程通常看起來像是將撞錘冷凍,將其取出,然後將其放入可以進行分析的另一台機器中。之所以起作用,是因為雖然通常在撞錘斷電時會丟失所有數據,但是當撞錘被凍結到非常低的溫度時,電子以及因此的數據實際上會“滯留”在撞錘中,從而給攻擊者足夠的時間將其從撞錘中刪除打開電源,然後在惡意系統上重新連接。
有可能從RAM中竊取數據。
在以下情況下:1)您具有與RAM數據和地址總線的外部連接; 2)您將擁有允許所有數據發送的方式到RAM的數據總線(只能有一個程序來執行而不影響系統運行); 3)該程序應在相同內核級別上運行;
簡而言之,您必須有一個程序(或病毒或安全漏洞)可以從RAM中竊取數據。