近期，幾位F-Secure安全研究人員發(fā)現(xiàn)了一種冷啟動攻擊的新變種，可以竊取計算機上的密碼、密鑰或是一些加密信息，即便是在計算機斷電之后同樣可以破解，并且這種攻擊對多數(shù)現(xiàn)代計算機都適用。

RAM(隨機存取存儲器)以斷電時能夠短暫的保留數(shù)據(jù)而為人稱道，在低溫條件下保存時間甚至可以更長。而冷啟動攻擊也正式依托于此，攻擊者可以通過這短暫的保留時間來竊取內(nèi)存中的信息。

冷啟動攻擊早期防治

冷啟動攻擊最早發(fā)現(xiàn)于2008年，只不過當時的攻擊還需要物理訪問目標計算機，因此攻擊的成本很高，往往用在一些高價值目標而非普通用戶上。

所謂兵來將擋水來土掩，各大計算機廠商也針對這個問題制定了一系列的防范措施。

AMD、惠普、IBM、英特爾和微軟幾大公司組建了可信計算組織(Trusted Computing Group)來解決這個問題，組織制定了一項標準，在電源恢復時覆蓋RAM的內(nèi)容來保護計算機數(shù)據(jù)免受此類攻擊。

標準名稱為TCG重置攻擊緩解或內(nèi)存覆蓋請求控制(MORLock)。這樣即使攻擊者能夠非?？斓膭?chuàng)造出保存數(shù)據(jù)所需的低溫條件，在系統(tǒng)啟動時內(nèi)存中的所有信息仍然會被清理。

MORLock成為歷史

F-Secure的安全研究人員Olle Segerdahl和Pasi Saarinen發(fā)現(xiàn)的新型攻擊方式，可以通過對存儲覆蓋指令重新編程來修改存儲芯片的動作，因此可以在禁用該項功能后通過外接設備繼續(xù)啟動并提取RAM中的數(shù)據(jù)。

只有完全關閉或休眠的計算機能夠免疫這種攻擊(因為切斷了電源)。但是在睡眠模式下，計算機先前的狀態(tài)會保存在RAM中，并以最小功率運行以保存數(shù)據(jù)，因此睡眠模式的計算機同樣無法幸免。

一套輸出兩分鐘

兩位研究人員通過視頻演示，完整的復現(xiàn)了新型冷啟動攻擊。

最合適的上手時間是計算機關閉-重新啟動期間，在此時凍結(jié)RAM芯片能夠有效的保存數(shù)據(jù)，利于攻擊者的一系列操作。

該技術能夠竊取計算機內(nèi)存中的數(shù)據(jù)，包括加密硬盤的密鑰。

至于BitLocker(驅(qū)動器加密)，如果用戶將其設置為啟動時使用PIN碼驗證身份，那么入侵者只有一次攻擊的機會，因為在提取RAM數(shù)據(jù)時PIN碼也是必需的。也就是說，PIN碼的存在等于是給數(shù)據(jù)多上了一道鎖。但是在沒有PIN驗證的計算機上，這種攻擊可以做到一打一個準。

在這兩位研究員看來，雖然實現(xiàn)攻擊需要一定的難度，但是他們相信肯定有一部分人也已經(jīng)掌握了這種攻擊方式，并且伺機而動。當然，對于普通用戶來說，用冷啟動攻擊有點殺雞用牛刀的意思，因此他們認為，大型企業(yè)，例如銀行之類的，可能是被重點關注的對象。

如何防范

專家對此建議是，在不用筆記本的時候最好將其完全關閉或休眠(一定要區(qū)分休眠和睡眠兩種模式)，同時再增加PIN碼驗證，能夠最大程度的抵御攻擊。

為了證實攻擊真實存在，微軟方面也針對BitLocker發(fā)布了公告，告知用戶現(xiàn)在的BitLocker已無法抵御冷啟動攻擊。

與之對應的是，掌握另一大操作系統(tǒng)的蘋果沒有做出任何回應，而是直接發(fā)布新一代的Mac，因其CPU采用的獨特的加密芯片，這種攻擊基本沒法破防，所以請廣大Mac用戶放心食用。

cc

收藏 海報分享