Перед новой вариацией атаки cold boot уязвимы почти все современные компьютеры

Специалисты компании F-Secure обнаружили новый вектор использования так называемых «атак методом холодной перезагрузки» (Cold Boot Attack). Таким образом атакующие могут похитить самые разные данные с узявимой машины, в том числе хранящиеся на зашифрованных накопителях.

Cold boot атака – явление далеко не новое, данный способ компрометации был обнаружен еще в 2008 году. Классическая атака методом холодной перезагрузки, это side-channel атака, которая подразумевает, что злоумышленник имеет физический доступ к компьютеру, требует полной перезагрузки машины, либо ее выключения и изъятие модулей памяти. Так как после отключения питания данные в ОЗУ типа DRAM и SRAM сохраняются на протяжении некоторого времени, злоумышленник получает возможность извлечь из памяти пароли, ключи шифрования, учетные данные от корпоративных сетей и другую ценную информацию.

Хотя cold boot атаки по понятным причинам никогда не станут массовой проблемой, на протяжении последних лет производители ОС и железа внедряли в свои продукты различные защитные механизмы, мешающие реализовать такую компрометацию. Ведь в «зоне риска» все равно остаются, например, крупные корпорации, за чьими секретами могут охотиться злоумышленники, видные государственные и общественные деятели, и так далее. Одним из способов защиты от cold boot атак является принудительная перезапись содержимого ОЗУ после холодной перезагрузки и восстановления питания.

Эксперты F-Secure сообщают, что им удалось обойти защитные механизмы производителей и, внеся изменения в настройки прошивки, обойтись без принудительной «зачистки» памяти, что в итоге позволяет похитить ценную информацию классическим методом холодной перезагрузки.

Равно как и предыдущие варианты cold boot атак, подобная компрометация потребует физического доступа к устройству и специального оборудования, для извлечения оставшихся в ОЗУ данных. Однако перед проблемой уязвимы практически все современные компьютеры, в связи с чем специалисты уже уведомили о своей находке инженеров Microsoft, Intel и Apple. Интересно, но несмотря на всю описанную сложность, компрометация занимает всего около двух минут.

Представители Microsoft отреагировали на предостережение специалистов, обновив руководство для BitLocker, а представители Apple заявили, что устройства с чипами T2 на борту находятся вне опасности. Инженеры Intel пока доклад специалистов никак не прокомментировали.

Сами специалисты F-Secure рекомендуют администраторами и сотрудникам ИТ-отделов настраивать свои машины таким образом, чтобы те сразу выключались или входили в режим гибернации, но не «засыпали», так как реализовать атаку на сто процентов, можно лишь задействовав sleep mode. Также настоятельно рекомендуется обязать пользователей вводить BitLocker PIN после каждого отключения компьютера и восстановления подачи питания.

Источник: https://xakep.ru/2018/09/14/new-cold-boot/