On epätodennäköistä, että henkilökohtainen salaussi ohitetaan tällä tavoin, mutta tätä haavoittuvuutta voidaan käyttää yrityshakemukseen tai hallitusten pääsy epäiltyjen tietoihin, jos epäilty ei kieltäytyisi luovuttamasta salausavainta.
Miten Full-Disk Encryption toimii
Olipa käytössä BitLockeriä salakirjoittamaan Windows-tiedostojärjestelmääsi, Androidin sisäänrakennettu salaustekniikka salaa älypuhelimen tallennustilaa tai muuta joukkoa muita täyden kiintolevyn salausratkaisuja, jokainen salaustekniikka toimii samalla tavoin.
Tiedot tallennetaan laitteen tallennustilaan salattuna, näennäisesti sekasotetussa muodossa. Kun käynnistät tietokoneen tai älypuhelimen, sinulta kysytään salauslauseketta. Laite tallentaa salausavaimen sen RAM-muistiin ja käyttää salaa ja purkaa tietoja niin kauan kuin laite pysyy päällä.
Olettaen, että laitteellasi on salasanan salasana ja hyökkääjät eivät arvaise sitä, heidän on käynnistettävä laitteesi uudelleen ja käynnistettävä toinen laite (kuten USB-muistitikku), jotta voit käyttää tietoja. Kun laite sammuu, RAM-muistin sisältö katoaa hyvin nopeasti. Kun RAM-muistin sisältö katoaa, salausavain katoaa ja hyökkääjät tarvitsevat salakirjoituksen salakirjoituksen tietojen salauksen purkamiseksi.
Näin salauksen oletetaan yleensä toimivan, ja siksi älykkäät yritykset salaavat kannettavia tietokoneita ja älypuhelimia arkaluonteisilla tiedoilla.
Data Remanence RAM-muistissa
Kuten edellä mainittiin, tiedot katoavat RAM-muistista hyvin nopeasti, kun tietokone sammutetaan ja RAM menettää tehon. Hyökkääjä voi yrittää käynnistää salatun kannettavan tietokoneen nopeasti, käynnistää USB-muistitikun ja käyttää työkalua, joka kopioi RAM-sisällön salausavaimen poistamiseksi. Tämä ei yleensä toimi. RAM: n sisältö poistuu muutamassa sekunnissa, ja hyökkääjä ei onnistu.
Aika, joka kestää tietojen poistamista RAM-muistista, voidaan laajentaa huomattavasti jäähdyttämällä RAM-muistia. Tutkijat ovat tehneet onnistuneita hyökkäyksiä tietokoneita käyttäen Microsoftin BitLocker-salausta suihkuttamalla kannen yläpuolella olevaa ylösalaista paineilmaa RAM: iin, jolloin se on alhaisissa lämpötiloissa. Viime aikoina tutkijat asettivat Android-puhelimen pakastimessa tunnin ajan ja pystyivät sitten palauttamaan salausavaimen sen RAM-muistista sen palauttamisen jälkeen. (Käynnistyslataaja on avattava tämän hyökkäyksen puolesta, mutta teoriassa on mahdollista poistaa puhelimen RAM ja analysoida se.)
Kun RAM-sisällön kopioidaan tai "kopioidaan" tiedostoon, niitä voidaan analysoida automaattisesti tunnistamaan salausavain, joka antaa käyttöoikeuden salattujen tiedostojen käyttöön.
Tätä kutsutaan "kylmäkäynnistyshyökkäykseksi", koska se perustuu tietokoneen fyysiseen pääsyyn tarttumaan tietokoneen RAM-muistissa olevat salausavaimet.
Kuinka estää kylmäkäynnin hyökkäykset
Helpoin tapa estää kylmäkäynnistyksen hyökkäys on varmistaa, että salausavain ei ole tietokoneesi RAM-muistissa. Esimerkiksi jos sinulla on yrityssovellus täynnä arkaluonteisia tietoja ja olet huolissasi, että se saattaa olla varastettu, sinun on katkaistava virta tai asetettava se horrostilaan, kun et käytä sitä. Tämä poistaa salausavaimen tietokoneen RAM-muistista - sinua kehotetaan antamaan salasana uudelleen, kun käynnistät tietokoneen uudelleen. Sitä vastoin tietokoneen laittaminen lepotilaan jättää salausavaimen tietokoneen RAM-muistissa. Tämä asettaa tietokoneesi vaaraan kylmäkäynnistyshyökkäyksille.
"TCG Platform Reset Attack Mitigation Specification" on alan vastaus tähän huolenaiheeseen. Tämä määritys pakottaa laitteen BIOSin korvaamaan sen muistin käynnistyksen aikana. Laitteen muistimoduulit voidaan kuitenkin poistaa tietokoneesta ja analysoida toisella tietokoneella ohittamalla tämä turvatoimenpide. Tällä hetkellä ei ole hulluttavaa tapaa estää tämä hyökkäys.
Pitääkö todella huolestua?
Geeksinä on mielenkiintoista pohtia teoreettisia hyökkäyksiä ja miten voimme estää heitä. Mutta olkaamme rehellisiä: Useimmat ihmiset eivät tarvitse huolehtia näistä kylmäkäynnistyksistä. Hallitukset ja yritykset, joilla arkaluonteiset tiedot suojelevat, haluavat vastata tähän hyökkäykseen, mutta keskimääräinen geek ei pidä huolehtia tästä.
Jos joku todella haluaa salatut tiedostosi, he todennäköisesti yrittävät saada salausavaimenne sinusta, eikä yrittäisi käynnistää kylmäkäynnistystä, mikä vaatii enemmän asiantuntemusta.
