211service.com
Det pågående hotet om kallstövelsattacker
Av de många olika sätten att attackera datorinnehåll är kallstartattacken ett av de mer intressanta. Detta kom fram 2008 när en grupp forskare vid Princeton University tillkännagav att de hade upptäckt ett helt nytt sätt att slå diskkryptering, standardmekanismen för att skydda känslig data på bärbara datorer, smartphones, netbooks, PC och Mac.
Idag beskriver Jos Wetzels vid University of Technology i Eindhoven, Nederländerna, tekniken och diskuterar de olika alternativen för att förhindra denna typ av attack. Hans nyktra slutsats är att trots tiden sedan kallstövelsattacker först upptäcktes, representerar denna form av attack fortfarande en klar och närvarande fara.
Kallstartsattacken är möjlig på grund av en föga känd egenskap hos random access-minnen som används i datorer för att lagra och läsa data snabbt. Random access-minnet är flyktigt, vilket innebär att det hela tiden måste skrivas om under perioder mätt i millisekunder. Den här egenskapen innebär att allt som lagras i slumpmässigt åtkomstminne är tillfälligt – när maskinen stängs av och minnet tappar ström, går datumet snart bort.
Det var åtminstone vad alla trodde. År 2008 visade Princeton-gruppen att data som lagrats i random access-minnet visar sig bevaras under en period av många sekunder efter att den tappat ström. Dessutom kan kylning av minnet förlänga denna period till många minuter och möjligen timmar. (Ett sätt att kyla ned random access-minnet är att spraya det med en upp och nedvänd burk flytande luft, som släpper ut kall vätska snarare än gas.)
Under denna korta period efter strömavbrott finns all information i random access-minnet att ta del av. Och det är precis så här kallstartattacken fungerar.
Tanken är att bryta strömmen till enheten och sedan omedelbart starta om den till ett USB-minne så att operativsystemet inte omedelbart skriver över innehållet i random access-minnet. Sök sedan i random access-minnet efter känsligt material, ladda ner det och försvinn.
Och det är allt. Uppenbarligen måste angriparen ha tillgång till datorn i fråga. Men hela processen kan vara över väldigt snabbt.
Kallstartsattacker är särskilt utformade för att extrahera information när innehållet lagras på disk i krypterad form. De flesta krypteringssystem hanterar detta genom att lagra krypteringsnyckeln i random access-minnet så att den snabbt är tillgänglig vid behov. Men det betyder att nyckeln kan läsas av i en kallstartsattack.
Efter att ha extraherat innehållet i minnet måste angriparen fortfarande hitta nyckeln, vilket inte alltid är helt okomplicerat. Ett sätt att göra det är med brute force—testa alla möjliga bytesekvenser som en potentiell nyckel. Men det är tidskrävande och ineffektivt. Ett annat sätt är att leta efter metadata som är associerade med nycklar som ASN.1-prefix som används med RSA-nycklar.
Ytterligare en möjlighet är att leta efter nycklarnas matematiska egenskaper, såsom deras höga entropi. Men detta kan ge ett stort antal falska positiva resultat.
Förmodligen är det bästa sättet att extrahera nycklarna att använda alla dessa tekniker och alla andra som är tillgängliga.
Säkerhetsexperter har framgångsrikt använt kallstartsattacker för att besegra diskkryptering på en mängd olika datorer. De har använt det för att attackera BitLocker som kommer med Windows Vista, FileVault, som kommer med Mac OS X och dm – crypt används med Linux. De har även använt det på olika Android-smarttelefoner med krypterad data.
Så vad kan man göra för att skydda sig mot kallstartsattacker? Wetzels säger att det finns flera alternativ med olika grader av effektivitet.
Ett uppenbart tillvägagångssätt är att inte lagra kryptografiska nycklar i direktminnet längre än nödvändigt. Detta kräver programvara som tar bort nyckeln när den har använts och skriver över den delen av minnet. Ett exempel är en applikation som heter Deadbolt för Android-smarttelefoner, som säkert skriver över alla nycklar som lagras i minnet så fort smarttelefonens skärm låser sig.
Ett annat särskilt lovande tillvägagångssätt är att lagra alla känsliga nycklar utanför random access-minnet. En föreslagen kategori av lösningar består av kärnmodifieringar som lagrar känsligt kryptografiskt nyckelmaterial säkert utanför RAM på ett sådant sätt att de inte lätt nås av applikationer som körs med vanliga privilegier och går förlorade så fort datorn startar om, säger Wetzel.
Det är också möjligt att få hårdvara som inte är mottaglig för kallstartsattacker. Det är till exempel möjligt att kryptera information som lagras i ett direktminne och dekryptera den när den används.
Ett annat alternativ är att använda skivor som har ett eget kryptografiskt chip som dekrypterar data vid behov. På detta sätt lagras nyckeln aldrig i random access-minnet eller används av systemets CPU.
Säkerheten för dessa system beror naturligtvis på att alla nycklar de förlitar sig på raderas närhelst strömmen bryts.
Inget av dessa är förstås perfekt, och Wetzels slutsats är att kallstartsattacker är en gångbar och realistisk vektor för en angripare som vill extrahera känslig information som finns i minnet.
Du har blivit varnad!
Ref: arxiv.org/abs/1408.0725 : Hidden In Snow, Revealed In Thaw: Cold Boot Attacks Revisited