題:
“刪除RAM”如何帶來安全風險?
undo
2016-05-19 16:37:05 UTC
view on stackexchange narkive permalink

今天我正在觀看有關“道德黑客”的視頻,在討論硬件攻擊時,敘述者說:

從台式機或筆記本電腦中刪除RAM或組件

以下是屏幕截圖: BIZARRE!!!

我了解刪除存儲驅動器之類的內容會帶來安全風險,但會刪除 RAM?它所能做的最大事情就是降低系統速度,但是那還會帶來安全風險嗎?

看看這個答案http://security.stackexchange.com/questions/10643/recover-the-prior-contents-of-ram-from-a-turned-off-pc
這篇文章也值得一讀[刪除後RAM是否可以保留數據?](http://security.stackexchange.com/questions/99906/can-ram-retain-data-after-removal)
@SGR`在系統仍在運行時刪除它'數據沒有丟失也就不足為奇了。
前四個是執行攻擊所需的實際攻擊或操作,而不是攻擊向量。我只將第5個元素視為“攻擊向量”,儘管這可能也可以改寫為:“不正確地放置敏感組織數據的可用性”。卸下RAM似乎是偷設備的一部分。幻燈片寫得不好。
@SGR:不相關,在這種情況下,您要刪除的是指令,而不是RAM。RAM在插入時應始終保持其值,這沒有問題。
如果攻擊者處於可以從運行的系統中刪除RAM的位置,那麼與他試圖從RAM中讀取殘留數據相比,您要擔心的物理攻擊向量要大得多。
如果有人卸下組件以使您無法再使用計算機,您是否不認為這是“攻擊”?
看起來風險是要丟失實際的RAM芯片,而不是可能包含的數據。
八 答案:
Peleus
2016-05-19 16:41:51 UTC
view on stackexchange narkive permalink

在許多情況下,RAM用於存儲敏感的非持久性信息。加密密鑰將是一個常見示例。

有時可以刪除RAM並將其放置到另一個設備中以傾倒內容-通常是在液氮的幫助下。

有關更多信息,請參見有關冷啟動攻擊的維基百科文章

如果有足夠的內存,則引入此漏洞的原始文件顯示,您可以使用廉價的壓縮空氣罐在不加電的情況下將ram內容保持一分鐘_(有足夠的時間將記憶棒轉移到另一台計算機上)_。使用液氮將內容物保持數小時。
@BlueRaja-DannyPflughoeft是的,有一個8分鐘的視頻[此處](https://youtu.be/C_VsNYwGM_k?t=9)(可能是NSFW)
如果僅一罐壓縮空氣就能真正維持RAM內容長達一分鐘,那麼RAM在室溫下可以保持多長時間?
@RockPaperLizard冷RAM將在沒有電源的情況下保持數據更長的時間。當計算機運行時,計算機正在使用電源來維護RAM中的值。
@RockPaperLizard [評論中鏈接的問題](http://security.stackexchange.com/questions/99906/can-ram-retain-data-after-removal)有一個回答,說在室溫下為毫秒至秒。
因此,關於永遠無法在第一時間正確對齊RAM的整個事情,無論您事先如何仔細看,實際上都是*安全功能*嗎?我敢肯定,出於這個原因,我從未在不到一分鐘的時間內成功地在計算機之間傳輸RAM。
@Todd Ram和USB插頭由相同的4維材料製成。這就是為什麼您通常必須將它們旋轉180到2至3倍才能適合它們。
我做了@ToddWilcox,但是我練習了多次以實現這一目標。
-1
Luc
2016-05-19 16:40:11 UTC
view on stackexchange narkive permalink

如果您登錄某處(例如在瀏覽器或某些應用程序中),則您輸入的密碼會臨時存儲在RAM中,以便與正確的密碼進行比較。大多數應用程序都假定RAM是安全的,並且不會清除所有內容,因此RAM內存中包含密碼和對隱私敏感的數據可能會(而且經常如此)發生。

現在據說RAM會丟失功率損失,但它的速度如此之慢且可預測,足以為攻擊者提供時間窗,使攻擊者可以閱讀所看內容。這稱為冷啟動攻擊

那是易失性RAM ...大多數PC都專門使用它。不過,非易失性RAM不需要電源來保留數據,最近的速度提高使其在移動設備中具有吸引力,而與Flash相對。這些模塊的時間限制以年或數十年為單位。你知道的越多...
Chris H
2016-05-19 19:19:27 UTC
view on stackexchange narkive permalink

在沒有更多上下文的情況下,它還不是很清楚,但是與上面的內容(“竊取設備”,而不是“ ...存儲設備/計算機”)結合使用時,它們可能是指簡單的盜竊行為。這是幾年前RAM價格高昂時的一個問題-它非常便於移植。

或者,盜竊DOS可能是一個問題。相同的幻燈片提到“ 切割光纖主幹”,它將阻止通信,而不是“闖入”光纖,而光纖更可能意味著竊聽。當然,如果在電纜斷裂或設備失竊的情況下進行恢復的過程不如主線過程安全,則可能會導致數據丟失。

是的-“安全”並不一定意味著信息安全-物理安全還適用於盜竊,故意破壞,暴力等。
過去,您可以在一個小的購物小蟲中裝上100,000美元的公羊,當擁有一台完整的計算機時,通過門童就容易多了。
Thomas
2016-05-21 01:06:15 UTC
view on stackexchange narkive permalink

刪除RAM可能會迫使系統進行更多交換,因此,存儲在RAM中的敏感信息寫入硬盤的可能性很小,但機會更大,

我無法相信這不是投票率最高的答案。當我試圖想像通過刪除RAM將給攻擊者帶來什麼好處時,這是我想到的第一件事。
老實說,令我驚訝的是,有這麼多人認為從凍結的RAM中提取數據是一種可能的攻擊方案。現在,我相信可以做到這一點,但是我不確定除NSA之外的任何人是否有能力在計算機實驗室之外進行此操作。
這是我的直覺,我擔心在滾動瀏覽答案時沒有看到它。很高興有人說了。尚不清楚為什麼上面有這麼多關於從_active系統中刪除RAM的信息?
我認為這裡有很多非常聰明的人,而聰明的人有時會首先想到更複雜的答案。凍結RAM以提取其內容不是一般計算機用戶會想到的(甚至不知道有可能)。
如果您要物理上更改硬件以使以後的第二次攻擊更容易,則似乎必須有更簡單的方法(例如,竊聽輸入設備或其他接口)
+1,如果您有權刪除RAM,則可以在以後獲得訪問權以刪除硬盤驅動器。
我同意,從上下文來看,如果攻擊者也是可以訪問RAM的人,那將毫無意義。從攻擊者的角度來看,刪除RAM並不是“安全風險”
如果只有1個滑枕,則將其卸下只會使計算機停止工作;如果有2個滑枕,而又卸下了1個,則只有2個機會中有1個有機會卸下正確的滑枕,以便獲取敏感信息。換成高清。
Tommy
2016-05-19 21:08:44 UTC
view on stackexchange narkive permalink

根據系統的工作,凍結RAM並將其轉儲以進行分析可能會有很多價值。

RAM的形狀多種多樣-許多類型的服務器都具有特殊的RAM,其中包含奇偶校驗位,因此在RAM之上,並不是立即“忘記”一個塊中記錄的最後一個東西,實際上它要更多如果您真的很想恢復該RAM上的內容,則可能會發生-鑑於服務器RAM是為具有錯誤保護功能而相對於家庭用戶RAM而構建的,則可能性更大。

如果攻擊者知道他們在尋找什麼,則攻擊的類型將非常專注於特定任務。因此,這可能是竊聽線路,竊取硬件,植入鍵盤記錄程序等。但是絕對有可能在RAM上竊取內存-分析是一團糟,但是如果您計劃搶劫以竊取RAM,則可能有人擁有從中獲利的技術知識。

LegendaryDude
2016-05-19 21:29:41 UTC
view on stackexchange narkive permalink

幻燈片中提到這些是物理攻擊媒介。我不知道滑蓋的全部內容,但是即使只是從系統中刪除RAM也會使應用程序或系統崩潰。

大多數物理或網絡攻擊的目的是破壞服務,竊取信息或獲取長期的惡作劇(殭屍網絡等)的後門訪問權限。雖然理論上可以從剛剛拔出的RAM中竊取數據,但我認為此處更大的威脅更多是拒絕服務攻擊。

如果攻擊者可以獲得對服務器的物理訪問權,則竊取對該服務器的運行至關重要的RAM可能會導致服務器發生故障。如果您盜用了所有內存,它不僅會降低系統的速度,而且會完全阻止系統正常運行。再說一次,僅盜用關鍵系統中的某些RAM會更加離散,如果不引起注意,操作員可能會很難識別系統故障的根本原因(尤其是如果系統嚴重依賴於RAM,例如-內存數據庫應用程序,例如TimesTen DB)。

當然,要點本身可以擴展到對硬件本身的任何物理攻擊,但是對於只有短暫時間的攻擊者而言,竊取RAM可能是最離散且最容易獲得物理媒介的訪問硬件的機會之窗。

為什麼不拔掉機器電源呢?:P
-1
真?您認為可以從正在運行的設備中刪除RAM並產生微妙的效果嗎?內核似乎至少有合理的可能立即停止運行並使系統崩潰。當然有[更簡便的方法](https://upload.wikimedia.org/wikipedia/commons/8/84/Claw-hammer.jpg)可以對您可以物理訪問的盒子進行DoS ...
@BenMillwood我不是說系統會運行,您推斷(根據我不知道的信息)。從正在運行的系統中拉出RAM顯然會比在關閉系統時將其刪除更為明顯。
天哪,如果我想殺死一個我可以物理訪問的系統,我會拉CPU。並留下手套。
Andrew Wright
2016-05-19 23:57:19 UTC
view on stackexchange narkive permalink

只需重申其他人的觀點,您不僅可以通過移除所有內存來關閉服務器或設備,還可以竊取加密密鑰。該過程通常看起來像是將撞錘冷凍,將其取出,然後將其放入可以進行分析的另一台機器中。之所以起作用,是因為雖然通常在撞錘斷電時會丟失所有數據,但是當撞錘被凍結到非常低的溫度時,電子以及因此的數據實際上會“滯留”在撞錘中,從而給攻擊者足夠的時間將其從撞錘中刪除打開電源,然後在惡意系統上重新連接。

嘿,@Andrew ...歡迎使用Stack Exchange ...在堆棧交換上'reiteration'並沒有得到真正的讚賞,因為它實際上並沒有對線程產生更多有用的作用...下次,嘗試發布更多原始內容。請享用!
Hello
2016-05-20 10:51:43 UTC
view on stackexchange narkive permalink

有可能從RAM中竊取數據。

在以下情況下:1)您具有與RAM數據和地址總線的外部連接; 2)您將擁有允許所有數據發送的方式到RAM的數據總線(只能有一個程序來執行而不影響系統運行); 3)該程序應在相同內核級別上運行;

簡而言之,您必須有一個程序(或病毒或安全漏洞)可以從RAM中竊取數據。

可能的話,我認為,如果您對計算機具有物理訪問權限,並且可以凍結並刪除活動計算機上的RAM,那麼將數據(而不只是RAM中的數據)上傳到計算機上要容易得多。遠程計算機,或僅將數據複製到另一媒體。
-1


該問答將自動從英語翻譯而來。原始內容可在stackexchange上找到,我們感謝它分發的cc by-sa 3.0許可。
Loading...