Usap RAM saat dimatikan untuk mencegah Cold Boot Attack

20

Sistem saya dienkripsi menggunakan Enkripsi Disk Penuh, yaitu segalanya kecuali / boot dienkripsi menggunakan dmcrypt / luks. Saya prihatin dengan Serangan Boot Dingin , di mana peneliti menunjukkan , bahwa konten dapat diekstraksi selama sekitar 5 menit .

Bisakah Anda memberikan instruksi pada:

  • bagaimana memicu kexec ke dalam kernel baru pada langkah terakhir dari proses shutdown / reboot (untuk memastikan clean down, untuk mencegah kerusakan sistem file, untuk memastikan kernel lama ditimpa)
  • cara membuat kernel itu, yang menghapus semua ram

yaitu, tolong jelaskan, bagaimana melakukan hal yang sama di Ubuntu?

Bagaimana cara mendeteksi shutdown? Bagaimana cara memulai Penghapusan RAM? RAM harus dihapus pada saat pengguna mengklik "shutdown" atau jika ia memulai "script panik".

Terima kasih atas usaha Anda!

Pekerjaan sebelumnya:

Jika Anda ingin melihat fitur tersebut menjadi kenyataan, pilih di Ubuntu Brainstorm!

http://brainstorm.ubuntu.com/idea/30076/

security memory encryption James Mitch
sumber
6
Bagaimana Anda bermaksud mendeteksi "shutdown"? Kekuatannya hilang begitu saja, tidak banyak yang dapat Anda lakukan dalam perangkat lunak. Dan karena penyerang memiliki akses fisik, mengandalkan USV bermasalah. Mengutip artikel wikipedia yang Anda tautkan: "Untuk mengeksekusi serangan, mesin di-boot dingin. Boot-dingin merujuk pada saat daya di-siklus" padam "lalu" hidup "tanpa membiarkan komputer dimatikan dengan bersih, atau, jika ada , menekan tombol "reset". "
CodesInChaos
2
Gunakan case: itu mengetuk pintu. Situasi saat ini: Anda dapat mematikan tetapi butuh 5 menit hingga enkripsi berjalan efektif (risiko serangan booting dingin). Dengan skrip penghapus RAM: tekan tombol panik dan semuanya hampir aman seketika. Ketika skrip siap, skrip ini dapat dengan mudah diperluas, aktif saat melepas drive USB. Itu bahkan bisa berfungsi jika seseorang merampas notebook, jika korbannya cukup cepat untuk melepaskan drive USB.
James Mitch
4
Beri tahu kami jika Anda memiliki RAM DDR2 atau DDR3. DDR3 kebal terhadap Serangan Boot Dingin. Mereka hanya menjaga voltase selama beberapa detik setelah power mati. Jika Anda di sini mengetuk lalu tarik steker. Jika Anda memiliki RAM yang lebih lama - saya akan mengaktifkan DUA hal di BIOS - 1. AutoStart setelah Power loss ke kondisi terakhir yang diketahui. 2. Ukuran ram Periksa di setiap boot. Ini akan memungkinkan Anda untuk Tarik steker, pasang kembali dan pergi ke pintu sementara BIOS Anda akan menghapus RAM untuk Anda dan memuat Sistem setelah itu. Ini lebih cepat dari yang Anda butuhkan.
mnmnc
4
Ini tahun 2012. Tidak ada lagi Cold Boot Attack kecuali Anda menggunakan laptop berusia 10 tahun. Jika saya ingin mendapatkan data terenkripsi Anda, saya akan mengeksploitasi lubang keamanan sistem atau mengirimi Anda trojan horse untuk mendapatkan data Anda untuk saya. Hal yang sama akan dilakukan oleh lembaga negara. Melanggar pintu dan mencoba CBA terlalu berisiko mengingat algoritma enkripsi yang tersedia saat ini. Akan cukup untuk memiliki sekrup yang tidak umum di kotak Anda dan siapa pun yang mencoba CBA akan pergi dengan tangan kosong setelah Anda menarik steker.
mnmnc
6
Anda tahu, tingkat paranoia ini hanya akan membuat orang-orang helikopter hitam yang jauh lebih tertarik pada Anda.
Daniel R Hicks

Jawaban:

17

Jika Anda tidak menggunakan RAM lama seperti DDR2, 512 MB atau 1024 MB maka Anda tidak perlu khawatir tentang CBA.

Lihatlah Penelitian asli di sini (PDF).

Jika Anda akan membacanya dengan cermat, Anda akan menemukan bahwa hanya DDR2 dan lebih tua yang rentan terhadap serangan ini. DDR3 kehilangan tegangan terlalu cepat untuk memungkinkan casing komputer dibekukan dan dibekukan. Jadi cukup cabut stekernya sebelum menjawab pintu.

Juga, makalah ini menegaskan bahwa DDR3 tidak rentan terhadap CBA. Jika sebenarnya Anda ingin mengamankan diri Anda karena Anda memiliki RAM DDR2 maka aktifkan di BIOS:

  1. Autostart setelah kehilangan daya
  2. Cek RAM saat boot

dan lakukan hal yang sama dengan DDR3 tetapi setelah menarik steker, pasang kembali. Komputer Anda akan memulai sendiri dan menghapus ram dengan memeriksanya. Jika tidak cukup bersih, proses boot akan memuat sistem ke RAM lagi. Akan terlalu cepat untuk memungkinkan CBA.

Dari tautan yang Anda berikan dalam komentar:

Oleh karena itu, sebagai kesimpulan, serangan boot dingin tidak boleh dilihat sebagai metode utama untuk mendapatkan memori sistem komputer yang dicurigai. Sebagai gantinya, teknik lain termasuk akuisisi berbasis perangkat lunak dan perangkat keras (yaitu FireWire) harus diusahakan sebelum melakukan serangan boot dingin terhadap sistem tersebut. Namun, jika terjadi situasi di mana teknik-teknik yang disebutkan di atas tidak tersedia (yaitu kurangnya koneksi FireWire atau konsol masuk sistem atau akuisisi memori jarak jauh tidak dimungkinkan) atau tidak efektif, maka serangan boot dingin dapat diberikan dengan asumsi bahwa penyelidik mengerti keduanya bagaimana dan di mana masalah mungkin timbul dan serba salah.
Seperti yang ditunjukkan oleh penelitian ini, serangan boot dingin tidak dapat ditetapkan sebagai suara forensik yang baik atau dapat diandalkan karena dalam sebagian besar percobaan yang dilakukan di sini kunci enkripsi residen-memori tidak dapat secara konsisten ditemukan atau diekstraksi walaupun seharusnya demikian. Hal yang sama juga dapat dikatakan untuk berbagai string dan pencarian kata kunci yang seharusnya menghasilkan lebih banyak string dan kata kunci daripada yang ditemukan untuk sebagian besar eksperimen. Selain itu, seperti yang telah ditunjukkan, hanya tindakan memori komputer pembekuan-flash tidak menjamin keberhasilan perolehan memori tersebut. Faktor dan variabel lain yang sudah diperiksa telah sepenuhnya memeriksa masalah ini dan penyebab mendasarnya. Demikian,
Akhirnya, bahkan akuisisi yang berhasil yang telah mengalami sedikit degradasi atau tidak akan ada kemungkinan tidak akan berdiri di pengadilan sebagai bukti kuat, setidaknya sampai yurisprudensi telah terjadi dan integritas memori yang diperoleh dapat dibuktikan utuh menggunakan suara dan metodologi yang dapat dimengerti. Pencarian terus membangun cara yang lebih tepat dan dapat diandalkan untuk mendapatkan memori komputer tersangka ...

Juga jika Anda memeriksa hasil percobaan, Anda akan menyadari bahwa mereka berhasil mengekstrak kunci AES hanya di sistem 2 dan 6 dan itu adalah Serangan Booting Hangat ketika Anda melihat spesifikasi sistem 2 - 1024 MB RAM 533 MHz - ini sudah tua barang. Sistem lainnya - sistem 6 dengan 256 RAM / 128 RAM - Saya kira yang satu ini cukup jelas.

Inilah sebabnya mengapa kesimpulan mereka adalah:

Pencarian terus membangun cara yang lebih tepat dan dapat diandalkan untuk mendapatkan memori komputer tersangka ...

Sebenarnya saya percaya bahwa jika Anda memiliki data yang sangat sangat sangat penting Anda tidak hanya harus menggunakan Enkripsi Drive Penuh tetapi juga menyimpannya dalam file terenkripsi yang terpisah. Dienkripsi dengan algoritma kaskade dan kata sandi yang berbeda kemudian yang digunakan selama enkripsi disk. Anda ingin cara aman mematikan PC? Ini dia:

  1. Menyimpan data aman dalam file enkripsi algoritma Cryptec True Crypt
  2. Gunakan Serpent
  3. Buat skrip untuk menangani shutdown:

Untuk Windows:

truecrypt.exe /wipecache
shutdown -s -f -t 1

Untuk Linux:

truecrypt /wipecache
shutdown -h now

Wipe cache memastikan bahwa tidak ada data yang rentan tetap dalam RAM setelah dimatikan. Jika seseorang akan melakukan Cold Boot Attack, mereka akan memiliki akses ke Sistem Anda yang terbaik. Mereka tidak akan memiliki data yang disimpan dalam file yang dienkripsi secara terpisah.

mnmnc
sumber
1
Saya menemukan makalah lain dari 2010. dtic.mil/cgi-bin/GetTRDoc?AD=ADA545078 [PDF] Beberapa bit juga tentang DD3 tetapi secara pasti tidak mengatakan DD3 aman terhadap serangan ini.
James Mitch
2
Saya tidak setuju dengan kesimpulan ini. Pertanyaan ini bukan tentang menghindari penegakan hukum. Bahkan itu mematikan diskusi jika pertanyaannya adalah tentang menghindari penegakan hukum. Jangan bicara soal penegakan hukum. Mari kita bicara tentang spionase industri. Seseorang yang memiliki RAM 4 atau 16 GB atau lebih dan sedang mengerjakan satu dokumen mahal, penting, sketsa, kode sumber, dll. Dia akan senang jika kunci enkripsi tidak dapat diekstraksi tetapi masih bisa kehilangan banyak uang jika dokumennya dicuri dari RAM.
James Mitch
2
Sementara saya benci untuk mengklarifikasi kasus penggunaan ... Informasi bukan tentang diterima di pengadilan sebagai bukti atau tidak. Juga orang lain memiliki alasan yang sah untuk menghapus RAM mereka. Penegak hukum ingin menyembunyikan program perlindungan saksi. Dinas rahasia ingin menyembunyikan kecerdasan mereka. Industri ingin menyembunyikan rahasia bisnis mereka. Jika kunci enkripsi aman, baiklah. Sisa data masih ingin aman, meskipun sedikit. Pertanyaan asli saya tetap terbuka.
James Mitch
1
Saya dapat membuat lebih banyak case use case di mana orang-orang bepergian dll ... Banyak orang mengenkripsi drive mereka dan jika mereka sadar bahwa sebagian dari RAM mereka dapat direkonstruksi, mereka lebih memilih untuk mengambil tindakan untuk mencegah hal itu. Google, Anda akan mengetahui bahwa kebanyakan orang tidak menyadari bahwa RAM berisi (ed) data setelah listrik terputus. Jika enkripsi disk dapat diganti dengan keamanan fisik orang tidak akan repot dengan enkripsi disk. Kedua konsep enkripsi dan enkripsi fisik memiliki hak untuk hidup. Keamanan selalu hanya bekerja pada bit. Yang ini sedikit hilang.
James Mitch
1
Ya saya setuju. Tingkat pengetahuan di kalangan masyarakat buruk. Tetapi Anda tidak akan dapat memasukkan solusi yang akan membuat mereka lebih aman. keamanan membutuhkan dyscypline. Rata-rata Joe tidak akan menggunakan Enkripsi Disk Penuh karena dia takut seseorang akan mencuri nomor kartu kreditnya. Jika Anda memiliki data yang rapuh yang Anda ingin benar-benar aman - gunakan Truecrypt untuk membuat file yang dienkripsi - jangan enkripsikan drive secara keseluruhan. Truecrypt memiliki 'penghapusan' swich yang menghapus kunci secara permanen dari memori RAM dengan menimpanya. Anda dapat menempatkannya dalam sebuah saluran. Jangan berburu lalat dengan meriam.
mnmnc
5

Peter AH Peterson di UCLA menulis bukti teknologi konsep dan mengembangkan teori untuk menjalankan sistem Anda dengan aman dengan RAM terenkripsi, dan solusinya secara tegas dirancang untuk mencegah serangan cold boot. Nama makalahnya adalah Cryptkeeper. Saya tidak tahu apakah dia membuat perangkat lunak tersedia untuk diunduh atau apakah mungkin untuk melisensikannya dari UCLA. Namun, tampaknya mungkin, setidaknya secara prinsip, untuk merancang cryptosystem untuk RAM yang aman bahkan jika seluruh isi RAM diungkapkan.

Dampak kinerja terukur dari solusi ini adalah antara 9% overhead dan perlambatan dengan faktor 9 , tergantung pada seberapa "patologis" skenario. Angka 9% dikutip berlaku untuk menjelajah web dengan Firefox, tetapi mereka tidak menyatakan kasus penggunaan apa yang akan memperlambat kinerja dengan faktor 9.

Solusi Peterson tidak "menghapus" RAM seperti yang Anda sarankan. Alih-alih, ia menggunakan "mekanisme penyembunyian kunci yang aman" untuk mencegah kunci dekripsi tidak diungkapkan hanya karena memperoleh konten RAM. Saya tidak yakin dengan detail implementasi, tetapi saya menganggapnya dijelaskan di koran.

Makalah ini diterbitkan pada 2010.

Ini tersedia untuk pembelian di situs ieeexplore IEEE. Ini juga tersedia untuk diunduh langsung sebagai PDF tanpa biaya dari situs web seseorang; itu ada di sana di hasil pencarian google untuk "cryptkeeper RAM" ... tapi saya tidak yakin berapa lama hasil itu akan tetap di sana.

Saya tergoda untuk membuat ini komentar daripada jawaban, karena solusi ini tidak "menghapus" RAM seperti yang Anda minta. Namun, saya percaya bahwa jika penelitian Peterson secara teknis benar, ini akan memiliki efek praktis yang sama - atau bahkan mungkin efek "lebih baik" - daripada menghapus RAM. Alasannya adalah bahwa penyerang fisik yang terampil mungkin dapat mengganggu upaya program sistem Anda untuk menghapus RAM jika mereka mengharapkan operasi seperti itu terjadi - misalnya, mengeluarkan baterai dari unit atau menekan tombol daya sebelum operasi dapat lengkap. Solusi Peterson lebih aman karena tidak didasarkan pada jendela waktu yang diperlukan di mana komputer diizinkan untuk melanjutkan menjalankan instruksi untuk menyelesaikan penghapusan. Alih-alih, ingatan terus - menerus dilindungi, bahkan jika CPU itu sendiri mati seketika oleh beberapa teknologi luar biasa sebelum Anda bahkan memiliki kesempatan untuk bereaksi terhadap penyerang.

Dan dengan "prestasi luar biasa teknologi" Maksud saya sesuatu seperti Stuxnet.

allquixotic
sumber
Great ditemukan. Pasti +1 dari saya. Tetapi tidak tersedia untuk konfirmasi - Anda harus membayar untuk membaca dokumen. Secara pribadi saya tidak akan mempercayainya - meskipun tidak umum digunakan kemungkinan besar akan ada bug implementasi di atasnya. Saya akan merasa seperti membangun dinding beton dari baja di depan rumah saya sementara tidak memiliki pagar di bagian belakangnya.
mnmnc
Di sisi lain, fakta bahwa itu tidak umum digunakan membuatnya lebih kecil kemungkinannya diketahui penyerang. Ini terus-menerus permainan kucing dan tikus antara penyerang dan pembela. Solusi terbaik yang mungkin adalah memiliki sistem keamanan yang benar-benar kuat yang JUGA mendapat manfaat dari ketidakjelasan / ketidaktahuan. Jika Anda tidak dapat memilikinya, solusi terbaik kedua adalah memiliki solusi yang terkenal dan telah diuji secara publik yang juga kuat, seperti TLS. Yang ini tidak banyak digunakan seperti TLS, jadi kami belum tahu apakah itu kuat. Hm Schroedinger's Cat atau Heisenberg Ketidakpastian jenis masalah.
allquixotic
1
Juga, untuk informasi Anda, hasil google teratas untuk "Cryptkeeper RAM" adalah unduhan langsung PDF dari karya peneliti lulusan ini, tersedia langsung dari situs web sendiri . Julukannya tampaknya Pedro dan di-host di domain Tastytronic.net-nya. Lihat di sini dan di sini . Jadi itu memberitahu saya dia meletakkan kertas itu di situs webnya sendiri atas kehendaknya sendiri, dan dengan demikian menjadi domain publik? Atau setidaknya dapat diakses secara publik dengan "ssst jangan bilang IEEE" ;-)
allquixotic
Menakjubkan. Terima kasih banyak untuk tautannya. Ini akan menjadi kuliah yang menarik.
mnmnc
Ya, menarik dan mungkin lebih aman daripada menghapus RAM. Sayangnya malah lebih tidak realistis untuk mendapatkannya. Karena itu saya senang juga mendapatkan jawaban untuk pertanyaan awal. Tidak sempurna, tapi pengganti sementara yang bagus. Terima kasih telah berbagi.
James Mitch
2

Saya akan membayangkan memtest86 akan cukup bagus dalam menyeka RAM. Saya selalu ingin mencoba yang di bawah ini tetapi belum. Jika saya mencobanya saya akan memperbaruinya.

Baca kexechalaman manual . Dan jangan coba-coba dengan kexec.iso, tetapi Anda perlu membongkar iso dan merobek biner yang dapat di-boot. Di situs memtest86 di atas, Anda bisa mengunduh binernya.

Anda harus menggunakan a kexec perintah untuk memuat apa yang Anda boot dulu.

Jadi saya pikir yang dapat Anda lakukan adalah:

kexec -l {path-to-memtest86-bootable-binary} --append=console=ttyS0,115200n8

dan ketika Anda siap untuk menarik pelatuk:

kexec -e

Saya berpikir (tapi bisa saja salah) bahwa --append=console=ttyS0,115200n8memtest86 dapat bekerja pada port serial. Jadi, jika Anda memiliki satu, Anda dapat memverifikasi itu berfungsi bahkan jika itu tidak muncul pada output video, yang merupakan kemungkinan karena memtest86 tidak melakukan inisialisasi video. Membunuh instance X yang berjalan mungkin merupakan ide yang bagus.

kexec-toolsPaket Debian (juga tersedia di Ubuntu) menghubungkan ini ke skrip shutdown, jadi jika Anda mengedit /etc/default/kexecAnda dapat memberitahu proses shutdown untuk memanggil kexecsebagai hal terakhir alih-alih me-reboot. Artinya, jika Anda tertarik dengan shutdown bersih.

Dalam keadaan darurat, sebuah sync; kexec -eakan bekerja.

Namun, ada kemungkinan beberapa chipset, setelah diinisialisasi, menyebabkan penguncian terjadi jika area memori tertentu ditangani. Saya tidak tahu bagaimana ini akan berhasil dalam praktiknya.

Kompromi yang baik jika kexectidak berfungsi adalah memasang memtest86 ke bootloader Anda, letakkan sebagai item boot default, dan tunda 1 detik hingga memilih secara otomatis (atau tidak ada penundaan dan bergantung pada penekanan tombol untuk memunculkan memu). Ini bisa membuat Anda memasuki memtest86 dari kondisi "boot baru" dengan cukup cepat, tetapi tidak secara instan.

Perhatikan bahwa ini tidak memperhitungkan RAM video. Solusi untuk itu adalah mengatur RAM video Anda sebagai perangkat blok , dan output /dev/randomke perangkat blok untuk beberapa iterasi.

LawrenceC
sumber
2
Melihat ke dalamnya dan google dan sebagainya. Menurut tails.boum.org/bugs/sdmem_does_not_clear_all_memory/... masih ada satu masalah dengan memtest: "Masih ada sedikit memori yang belum dihapus." Terima kasih, hal-hal kexec terlihat bermanfaat dan mudah.
James Mitch
2

Ini pertanyaan lama tapi saya pikir saya bisa berkontribusi. Seperti yang dikatakan sebelumnya, penghapusan memori berbasis perangkat lunak bukanlah solusi terbaik, hanya karena daya dapat tiba-tiba terputus, sehingga perangkat lunak penghapusan tidak akan dieksekusi.

Saya bisa membayangkan skenario terbaik untuk menggambarkan masalah: Anda menjalankan bisnis ilegal di komputer di rumah Anda. Suatu hari, kekuatan listrik tiba-tiba menghilang, dan kemudian sebuah regu FBI menyerbu pintu rumah Anda, menangkap Anda dan kemudian seorang teknisi kutu buku dengan cepat membuka kasing komputer Anda dan menggunakannya di dalamnya gas dingin untuk membekukan keadaan memori untuk membeli beberapa waktu untuk melakukan Serangan Boot Dingin.

Jadi, cara terbaik untuk mengatasi masalah ini adalah membuat casing komputer lebih aman, dengan membuatnya sulit dibuka (sesuatu seperti lemari besi), atau bahkan menghancurkan memori dengan memanaskan papan menggunakan resistensi bertenaga baterai, dinyalakan oleh tamper beralih dalam kasus ini. Beberapa detik pada suhu tinggi dapat menghancurkan data, atau bahkan menghancurkan chip, penyihir bukanlah masalah besar dalam situasi ini.

Daniel Ribeiro
sumber
Saya selalu berpikir tentang termit di sini :-)
Konrad Gajewski
1
Thermite memang solusi yang bagus ... Mudah menyala dan tidak mungkin menghentikan reaksi. Anda hanya perlu membuat rangkaian aktivator yang aman ... Karena jika memulai reaksi secara tidak sengaja, Anda akan mengalami kesulitan.
Daniel Ribeiro
0

Masalahnya adalah jika komputer Anda berjalan dan layar terkunci. Pada titik ini, kunci AES disimpan dalam RAM, dan pengguna berada jauh dari komputer. Seorang penyusup dapat membuka kasing komputer dan menghapus modul RAM, sambil tetap memberi daya, dan menempatkannya di perangkat terpisah yang membaca kontennya. Tidak perlu mematikan sistem atau membekukan modul sebelum ekstraksi. RAM tidak dapat dipercaya untuk menahan kunci AES, tetapi cache prosesor adalah, seperti solusi bernama TRESOR. Sayangnya itu membutuhkan kernel Linux lama, dan pengetahuan lanjutan tentang menambal dan mengkompilasi kernel.

Derek
sumber
Adakah klaim untuk mendukung ram yang memegang kunci aes?
BlueBerry - Vignesh4303
Ini menunjukkan Anda tidak mengerti bagaimana ram bekerja, Anda juga perlu memiliki ram controller untuk me-refresh setiap N ms untuk menyimpan data.
Geoffrey
-2

Maaf, tapi Anda paranoid. Pertama, seperti yang ditunjukkan oleh pengguna lain, tampaknya Cold Boot Attack hanya berfungsi pada perangkat keras lama.

Jika Anda masih berpikir itu adalah ancaman, menyeka bukanlah solusi.

Cold Boot Attack melibatkan:

  • boot dingin mesin
  • mem-boot OS ringan untuk mengambil kunci enkripsi dari memori

Jika seseorang berhasil melakukan cold-boot maka jelas wiper Anda tidak akan memiliki kesempatan untuk berjalan. Jadi tidak masuk akal untuk menginstalnya.

Ini adalah kasus utama serangan itu. Sekarang mari kita asumsikan bahwa penyerang tidak ingin mem-boot dirinya sendiri server yang sedang berjalan (misalnya karena itu akan memicu peringatan pemantauan), sebagai gantinya dia menunggu untuk melakukan serangan dalam 5 'dari shutdown bersih. Pada kasus ini:

  • Penghapus RAM generik juga tidak akan membantu Anda. Karena penyerang diasumsikan hadir secara fisik untuk menghidupkan mesin dan mencari kunci, dia juga dapat mendinginkan mesin tepat sebelum wiper mulai berjalan. (Peringatan pemantauan pada titik ini diharapkan.)
  • Program khusus yang pertama-tama menyeka lokasi yang tepat dari kunci enkripsi FS sebelum menyeka sisa RAM (mis truecrypt /wipecache disebutkan oleh mnmnc) dapat membuat pekerjaan penyerang lebih sulit. Masih:
    • Penyerang masih bisa mengais beberapa isi RAM dengan tidak membiarkan wiper berjalan melalui seluruh RAM. Tetapi setidaknya sebagian besar data pada FS akan aman.
    • Solusinya tidak akan 100% sangat mudah - itu hanya membuat penyerang kesulitan mengatur waktu boot-dingin.

Jadi, jika Anda benar-benar khawatir tentang serangan ini, saya sarankan Anda belajar kung-fu dan berjaga selama 5 'di sebelah mesin setiap kali Anda mematikannya. Atau mungkin menggunakan kata sandi boot di BIOS Anda? Kedua langkah yang disarankan tidak perlu 100% efektif: penyerang mungkin masih mengalahkan Anda dan membaca kata sandi BIOS dari MB Anda menggunakan cara teknis. Anda hanya perlu menunda mereka selama 5 'sehingga jendela waktu serangan berakhir.

Akhirnya, jika Anda khawatir tentang seseorang yang melakukan seluruh prestasi dari jarak jauh, Anda sudah kesulitan.

m000
sumber
2
Itu hanya bekerja pada perangkat keras yang lebih lama tidak terbukti. Saya memposting ini di forum keamanan! Paranoid atau tidak. Jika tidak ada yang konstruktif untuk ditambahkan, jangan balas. Biarkan orang-orang paranoid mendiskusikan hal-hal paranoid mereka. Ada banyak orang yang mendiskusikan hal ini, saya akan menambahkan beberapa tautan ke pertanyaan awal.
James Mitch
Apa yang Anda maksud tidak konstruktif? Saya menjelaskan kepada Anda bagaimana menghapus memori adalah tindakan balasan yang tidak efisien untuk serangan ini. Orang-orang yang mendiskusikan proposal Anda untuk menghapus ingatan itu tidak membuatnya menjadi penanggulangan yang valid terhadap serangan itu. Terus terang itu secara teknis menarik untuk menambahkan penghapus ini, tetapi hanya demi itu. Bukan karena itu akan mencegah serangan boot dingin.
m000
"Serangan Cold Boot melibatkan: cold booting the machine"> Wrong. Ram dihapus dan didinginkan dengan es kering; "Mem-boot OS yang ringan untuk mengambil kunci enkripsi dari memori"> Salah. Setelah RAM dingin, dapat diperiksa di komputer lain. Lihat saja pertanyaan aslinya, ada kaitannya dengan demonstrasi dengan es kering.
James Mitch
1
Tentang hal DDR2 vs DDR 3: Anda tidak akan menemukan makalah penelitian yang mengklaim bahwa situasi membaik karena DDR 3. Itu hanya klaim yang belum terbukti. Kirimi penulis makalah penelitian, mereka tidak akan memberi tahu DD3 lebih aman.
James Mitch
1
@JamesMitch "Anda tidak akan menemukan makalah penelitian yang mengklaim bahwa situasinya membaik karena DDR 3" mungkin Anda tidak akan menemukan makalah apa pun tetapi saya pikir jika penulis TrueCrypt mengklaim seperti itu - kami dapat mempercayai. Lihatlah di sini: truecrypt.org/docs/?s=unencrypted-data-in-ram dan baca tanda bintang * pertama di bagian bawah. Kutipan: "Tipe baru dari modul memori diduga menunjukkan waktu pembusukan yang jauh lebih pendek (misalnya 1,5-2,5 detik) daripada tipe yang lebih lama (per 2008)." Itu berarti bahwa sejak 2008 sesuatu telah berubah dalam RAM ...
mnmnc