Soğuk Önyükleme Saldırısını önlemek için RAM kapalıyken silin

Sistemim Tam Disk Şifrelemesi kullanılarak şifrelenmiştir, yani / boot dışındaki her şey dmcrypt / luks kullanılarak şifrelenmiştir. Araştırmacıların , içeriğin yaklaşık 5 dakika süreyle çıkarılabileceğini gösterdiği Soğuk Önyükleme Saldırıları hakkında endişeliyim .

Lütfen aşağıdaki talimatları verebilir misiniz:

• kapatma / yeniden başlatma işleminin son adımlarında kexec'in yeni bir çekirdeğe nasıl tetikleneceği (temiz bir çıkarılmayı sağlamak, dosya sisteminin bozulmasını önlemek, eski çekirdeğin üzerine yazılmasını sağlamak için)
• tüm ramları silen bu çekirdeğin nasıl oluşturulacağı

Yani, lütfen Ubuntu’da nasıl yapılacağını açıklayabilir misiniz?

Kapatma nasıl tespit edilir? RAM Wipe nasıl başlatılır? RAM, kullanıcının "kapatma" düğmesine basmasıyla veya bir "panik betiği" başlatması üzerine silinmelidir.

Çabaların için teşekkürler!

Önceki iş:

• Kuyrukları RAM Giriş silin
• Kuyrukları RAM hakkında daha fazla bilgi
• Liberte Linux RAM Giriş silin
• Liberte Linux RAM hakkında daha fazla uygulama detayı Silme uygulaması
• memtest her şeyi silmiyor
• RAM Wipe'ın çalışıp çalışmadığını test edin
• Kuyrukları posta listesi tartışma
• Başka bir Kuyruk posta listesi tartışma
• Çekirdek hata raporu

Özelliğin gerçek olduğunu görmek istiyorsanız, Ubuntu Beyin Fırtınasına oy verin!

http://brainstorm.ubuntu.com/idea/30076/

DDR2, 512 MB veya 1024 MB gibi eski RAM kullanmıyorsanız, CBA için endişelenmeyin.

Buradaki orijinal araştırmalara bir göz atın (PDF).

Dikkatlice okuyacaksanız, sadece DDR2 ve daha yaşlıların bu saldırıya açık olduğunu göreceksiniz. DDR3, bilgisayar kasasının sökülüp donma prosedürünü sağlamak için voltajı çok hızlı kaybeder. Bu yüzden kapıya cevap vermeden önce fişi çekin.

Ayrıca, bu makale DDR3'ün bir CBA'ya duyarlı olmadığını onaylamaktadır. Aslında DDR2 RAM'iniz olduğundan kendinizi güvende tutmak istiyorsanız BIOS'ta etkinleştirin:

1. Güç kaybından sonra otomatik başlatma
2. Açılışta RAM kontrolü

ve DDR3 ile aynı şekilde yapın, ancak fişi çektikten sonra tekrar takın. Bilgisayarınız kendi kendine başlayacak ve tokmağı kontrol ederek silecektir. Yeterince verimli bir şekilde silinmezse, önyükleme işlemi sistemi tekrar RAM'e yükler. CBA'ya izin vermek çok hızlı olacak.

Yorumlarda verdiğiniz bağlantıdan :

Bu nedenle, sonuç olarak, soğuk başlatma saldırısı şüpheli bir bilgisayar sisteminin hafızasını edinmenin birincil yöntemi olarak görülmemelidir. Bunun yerine, söz konusu sisteme soğuk önyükleme saldırısı gerçekleştirmeden önce hem yazılım hem de donanım tabanlı satın alma (örn. FireWire) dahil olmak üzere diğer teknikler denenmelidir. Bununla birlikte, yukarıda belirtilen tekniklerin mevcut olmadığı (yani, FireWire bağlantısının olmaması veya sistem oturum açma konsolu veya uzak bellek edinmenin mümkün olmadığı) veya etkisiz olduğu bir durum ortaya çıkarsa, araştırıcının her ikisini de anladığı varsayılarak soğuk başlatma saldırısı uygulanabilir. problemin nasıl ve nerede ortaya çıkabileceği ve ters gidebileceği.
Bu çalışmanın gösterdiği gibi, soğuk önyükleme saldırısı, özellikle adli olarak sağlam veya güvenilir olduğu için yapılamamaktadır, çünkü burada yapılan deneylerin çoğunda, bellekte yerleşik şifreleme anahtarları, olması gereken şekilde tutarlı bir şekilde bulunamamış veya çıkartılamamıştır. Aynısı, denemelerin çoğu için bulunanlardan çok daha fazla dize ve anahtar kelime bulması gereken çeşitli dizeler ve anahtar kelime aramaları için de söylenebilir. Ayrıca, gösterilmiş olduğu gibi, yalnızca flaş dondurma bilgisayar belleğinin hareketi, söz konusu belleğin başarılı bir şekilde alınmasını garanti etmez. Daha önce incelenen diğer faktörler ve değişkenler bu sorunları ve altında yatan nedenleri tam olarak inceledi. Böylece,
Son olarak, hiçbir bozulmaya uğramamış ya da hiç bozulmamış olan başarılı bir satın alma bile, mahkemede sağlam bir kanıt olarak görülmeyecektir, en azından içtihat gerçekleşinceye ve edinilen hafızanın bütünlüğünün bir ses kullanılarak bozulmadan kanıtlanabileceği ve anlaşılabilir bir metodoloji. Arama, şüphelinin bilgisayarının hafızasını edinmenin daha doğru ve güvenilir bir yolunu oluşturmaya devam ediyor ...

Ayrıca, deney sonuçlarını kontrol ederseniz, yalnızca sistem 2 ve 6'daki AES anahtarlarını başarılı bir şekilde çıkardıklarını ve sistemin 2 - 1024 MB RAM 533 MHz özelliklerine baktığımızda Sıcak Önyükleme Atakları olduklarını fark edeceksiniz - bu eski şey. Diğer sistem - 256 RAM / 128 RAM ile sistem 6 - Bunun kendinden açıklamalı olduğunu düşünüyorum.

İşte bu tam olarak sonuçlarının nedeni:

Arama, şüphelinin bilgisayarının hafızasını edinmenin daha doğru ve güvenilir bir yolunu oluşturmaya devam ediyor ...

Aslında çok çok önemli verileriniz varsa, yalnızca Tam Sürücü Şifrelemesi kullanmamalı, ayrıca ayrı bir şifreli dosyada tutmanız gerektiğine inanıyorum. Cascade algoritmaları ve daha sonra disk şifrelemesi sırasında kullanılanlardan farklı bir şifre ile şifrelenmiş. Bilgisayarı kapatmanın güvenli bir yolunu mu istiyorsunuz? İşte burada:

1. True Crypt cascade algoritması encrypeted dosyasında güvenli verileri koru
2. Yılanı Kullan
3. Kapatmayı işlemek için bir komut dosyası oluşturun:

Pencereler için:

truecrypt.exe /wipecache
shutdown -s -f -t 1

Linux için:

truecrypt /wipecache
shutdown -h now

Önbelleği sil, kapatıldıktan sonra RAM'de güvenlik açığı bulunan hiçbir veri kalmamasını sağlar. Birisi Cold Boot Attack yapacaksa, Sisteminize en iyi şekilde erişebileceklerdir. Ayrı olarak şifrelenmiş bir dosyada saklanan veriler olmaz.

UCLA’daki Peter AH Peterson, konsept teknolojisinin bir kanıtını yazdı ve sisteminizi şifreli RAM’le güvenli bir şekilde çalıştırmak için teori geliştirdi ve çözüm açıkça önyükleme saldırılarını önlemek için tasarlandı. Makalesinin adı Cryptkeeper. Yazılımı indirmeye hazır mı yoksa UCLA'dan lisans almak mümkün mü bilmiyorum. Bununla birlikte, görünüşe göre, en azından prensipte, RAM içeriğinin tamamı açıklanmış olsa bile güvenli bir RAM şifreleme sistemi tasarlamak mümkündür.

Bu çözeltinin ölçülen performans etkisi% 9 yükü ve bir faktör ile yavaşlama arasındadır 9 senaryo ne kadar "patolojik" bağlı olarak,. % 9 rakamı, Firefox ile internette gezinmek için başvuru olarak belirtiliyor, ancak hangi kullanım durumunun performansı 9 kat azaltacağını belirtmediler.

Peterson’nın çözümü, önerdiğiniz gibi RAM’i “silmiyor”. Aksine, şifre çözme anahtarının sadece RAM içeriğini elde etmek suretiyle ifşa edilmesini önlemek için bir "güvenli anahtar gizleme mekanizması" kullanır. Uygulamanın detaylarından emin değilim, ancak makalede açıklandığını varsayıyorum.

Makale 2010 yılında yayınlandı.

IEEE'nin ieeexplore web sitesinde satın alınabilir. Ayrıca, birisinin web sitesinden ücretsiz olarak PDF olarak doğrudan indirebilirsiniz. "cryptkeeper RAM" için google arama sonuçlarında ortaya çıktı ... ancak bu sonucun orada ne kadar kalacağından emin değilim.

Bunu bir cevaptan çok bir yorum yapmaktan çekindim, çünkü bu çözüm istediğiniz gibi RAM'i "silmiyor". Bununla birlikte, eğer Peterson'ın araştırması teknik olarak doğru ise, bunun RAM'i silmekle aynı pratik etkiye - veya muhtemelen "daha iyi" bir etkiye sahip olacağına inanıyorum. Bunun nedeni, yetenekli bir fiziksel saldırganın, böyle bir işlemin gerçekleşmesini bekledikleri takdirde sistem programınızın RAM'ı silme girişimini muhtemelen durdurmasıdır - örneğin, işlem yapmadan önce pili üniteden çekerek veya güç düğmesini basılı tutmadan önce tamamlayınız. Peterson'ın çözümü daha güvenlidir, çünkü silinme işlemini tamamlamak için bilgisayarın talimatları yürütmeye devam etmesine izin verilen gerekli bir zaman penceresine dayanmaz. Bunun yerine, hafıza sürekli Eğer saldırgana tepki verme şansınız bile olmadan, CPU'nun kendisi inanılmaz bir teknoloji harikası tarafından anında öldürülse bile korumalı.

Ve "teknolojinin inanılmaz başarısı" derken Stuxnet gibi bir şey kastediyorum.

Memtest86’nın RAM’i silmede oldukça iyi olacağını hayal ediyorum. Her zaman aşağıdakileri denemek istemişimdir ama denemedim. Eğer denersem, güncellerim.

kexecMan sayfasını oku . Ve kexec.iso'ya çalışmayın, ancak iso paketini açmanız ve önyüklenebilir ikili dosyayı yakalamanız gerekir. Yukarıdaki memtest86 sitesinde sadece ikili dosyayı indirebilirsiniz.

kexecİlk başlattığınız şeyi yüklemek için bir komut kullanmanız gerekir .

Bu yüzden yapabileceğin şey olduğunu düşünüyorum:

kexec -l {path-to-memtest86-bootable-binary} --append=console=ttyS0,115200n8

ve tetiği çekmeye hazır olduğunuzda:

kexec -e

--append=console=ttyS0,115200n8Memtest86’nın seri bağlantı noktası üzerinden çalışacağını düşünüyorum (ancak yanlış olabilir) . Bu yüzden eğer bir tane varsa, video çıkışında görünmese bile çalıştığını doğrulayabilirsiniz, bu memtest86'ın video başlatma işlemini gerçekleştirmemesi nedeniyle bir olasılıktır. X'in çalışan örneklerini öldürmek muhtemelen iyi bir fikirdir.

Debian kexec-toolspaketi (Ubuntu'da da bulunur) bunu kapatma komut dosyalarına bağlar, böylece düzenleme /etc/default/kexecyaparsanız kapatma işlemine kexecyeniden başlatma yerine son şey olarak çağırmasını söyleyebilirsiniz . Yani, temiz bir kapatma ile ilgileniyorsanız.

Acil bir durumda, bir sync; kexec -eişe yarar.

Bununla birlikte, bazı yonga kümeleri başlatıldıktan sonra, belirli bellek alanlarına yönelik kilitlenmelerin oluşmasına neden olabilir. Bunun pratikte nasıl işe yaradığını bilmiyorum.

Eğer kexecişe yaramazsa iyi bir uzlaşma memtest86'yı bootloader'ınıza kurmak, varsayılan boot maddesi olarak koymak ve otomatik seçim yapana kadar 1 saniyelik bir gecikmeye sahip olmaktır (ya da gecikme olmadan ve memu'yu açmak için bir tuşa basmanız gerekir). Bu sizi memtest86’ya “hızlı açılış” koşulundan oldukça hızlı bir şekilde gönderebilir, ancak anında.

Bunun video RAM'inden sorumlu olmadığını unutmayın. Bunun bir çözümü video RAM'inizi bir blok aygıt olarak ayarlamak ve /dev/randombirkaç yinelemeyle blok aygıtına çıkış yapmaktır.

Bu eski bir soru ama sanırım katkıda bulunabilirim. Daha önce de belirtildiği gibi, yazılım tabanlı bir hafıza silme en iyi çözüm değildir, çünkü güç aniden kesilebilir, bu yüzden silme yazılımı çalıştırılmaz.

Sorunu açıklamak için en iyi senaryoyu hayal edebiliyorum: Bilgisayarınızda yasadışı işler yapıyorsunuz. Bir gün, elektrik gücü aniden kayboluyor ve sonra bir FBI ekibi evinizin kapısını sallıyor, sizi tutuklıyor ve sonra bir inek teknisyeni bilgisayarınızın kasasını hızlı bir şekilde açıyor ve içinde bir miktar satın almak için hafıza durumunu dondurmak için soğuk bir gaz kullanıyor. Cold Boot Attack yapmanın tam zamanı.

Bu nedenle, bu sorunu çözmenin en iyi yolu bilgisayarın kasasını daha güvenli hale getirmek, açılmasını zorlaştırmak (tonoz gibi bir şey) veya tahtayı kurcalamakla tutuşan, pille çalışan bir direnç kullanarak tahtayı ısıtmaktır. Kasayı değiştir. Yüksek sıcaklıklarda birkaç saniye, verileri yok edebilir, hatta çipleri bile yok edebilir, cadı bu durumda büyük bir sorun değildir.

Sorun bilgisayarınız çalışıyorsa ve ekran kilitliyse. Bu noktada, AES anahtarı RAM'de saklanır ve kullanıcı bilgisayardan uzaktadır. Bir davetsiz misafir bilgisayar kasasını açıp RAM modüllerini çıkarırken, güçlerini tutarken içeriğini okuyan ayrı bir cihaza yerleştirebilir. Çıkartma işleminden önce sistemi kapatmaya veya modülleri dondurmaya gerek yoktur. RAM, AES tuşunu tutmak için güvenilir değildir, ancak işlemcinin önbelleği, TRESOR adlı çözüm gibidir. Ne yazık ki bu, eski bir Linux çekirdeğini ve çekirdeği düzeltme ve derleme konusunda ileri düzeyde bilgi gerektirir.

Üzgünüm ama paranoyak davranıyorsun. İlk olarak, diğer kullanıcıların belirttiği gibi, görünüşe göre Soğuk Önyükleme Saldırısı yalnızca eski donanımlarda çalışır.

Hala bunun bir tehdit olduğunu düşünüyorsanız, silme çözümü değildir.

Soğuk Önyükleme Saldırısı şunları içerir:

• makineyi soğuk başlatma
• şifreleme anahtarlarını bellekten temizlemek için hafif bir işletim sistemi önyüklemesi yapma

Eğer birisi soğuk önyüklemeyi gerçekleştirmeyi başarırsa, açıkça sileceğinizin kaçma şansı kalmayacak. Yani bir tane yüklemek hiç mantıklı değil.

Bu, saldırının ana halidir. Şimdi saldırganın, çalışan sunucuyu (örneğin bir izleme uyarısını tetikleyeceği için) soğuk önyükleme yapmak istemediğini varsayalım, bunun yerine saldırıyı temiz bir kapatma işleminin 5 'içinde gerçekleştirmeyi bekler. Bu durumda:

• Genel bir RAM sileceği, size de iyi gelmez. Makineyi çalıştırmak ve anahtarları temizlemek için saldırganın fiziksel olarak bulunduğu varsayıldığından, silecek çalışmaya başlamadan hemen önce makineyi soğuk olarak da çalıştırabilir. (Bu noktada izleme uyarıları bekleniyor.)
• RAM truecrypt /wipecacheşifresinin geri kalanını silmeden önce (örn . Mnmnc tarafından bahsedilir) FS şifreleme anahtarlarının tam yerini silen özel bir program saldırganın işini zorlaştırabilir. Yine:
  • Saldırgan, sileceğin tüm RAM'den geçmesine izin vermeyerek bazı RAM içeriğini temizleyebilecektir. Ancak en azından FS'deki verilerin büyük kısmı güvenli olacaktır.
  • Çözüm% 100 kusursuz olmaz - sadece saldırganın soğuk önyüklemesini zamanlamasını zorlaştırır.

Bu nedenle, bu saldırı hakkında gerçekten endişeleniyorsanız, makineyi her kapatışınızda kung-fu öğrenmenizi ve makinenin yanında 5 'beklemenizi öneririm. Ya da belki BIOS'unuzda bir açılış şifresi kullanın. Önerilen her iki önlemin de% 100 etkili olması gerekmez: saldırganlar sizi yenebilir ve teknik araçları kullanarak BIOS parolanızı MB'nizden okuyabilir. Saldırı zaman penceresinin süresinin dolması için onları 5 'geciktirmeniz yeterli.

Sonunda, tüm feat'i uzaktan yapan biri için endişeleniyorsanız, zaten çok sert olursunuz.