大多数现代计算机容易受到跨平台冷启动攻击
2018/09/14 08:02:16 来源:Linux公社 作者:醉落红尘

在瑞典斯德哥尔摩举行的SEC-T安全/黑客会议期间,F-Secure研究人员Olle Segerdahl和Pasi Saarinen详细介绍了攻击者如何使用固件漏洞来禁用供应商实施的安全措施并提取任何加密数据留在RAM模块中。

冷启动攻击是一种安全攻击,通过该安全攻击,具有物理访问权限的恶意方和计算机可以在重置或重新启动计算机后从DRAM和SRAM内存模块中窃取加密密钥。

然后使用被盗的加密密钥从硬盘驱动器安装受保护的卷,并允许提取敏感数据。

在这种特定情况下,冰冷启动攻击向量可以对借助BitLocker或FileVault加密的数据进行解扰,并在攻击者获得对目标设备的物理访问后从RAM恢复加密密钥。

除了加密密钥之外,F-Secure研究团队还表示,使用此固件漏洞利用的攻击甚至可以获取其他敏感资料,如密码或企业帐户,基本上是在计算机关闭后留在RAM中的任何内容或重新启动。

正如研究团队所解释的那样,笔记本电脑是最容易受到攻击的设备,因为它们的电池使RAM模块的供电时间更长,因此比台式电脑更容易窃取数据。

这种冷启动攻击同时影响到微软的BitLocker和苹果的FileVault

此外,笔记本电脑被黑客入侵的风险更高,因为这种攻击要求威胁参与者对计算机进行物理访问并将其移动到安全的地方进行数据提取过程。

F-Secure的研究人员还证实,理论上可以在机器运行时劫持RAM芯片,附加补充说明仍然需要物理访问RAM芯片。

虽然这整个情况看起来很糟糕,但仍然有希望看到,正如会议上所详述的那样,Apple确认了他们的一些电脑,那些装有T2芯片的电脑(即2018年的iMac Pro和MacBook Pro型号)具有额外的硬件级保护,可以成功地缓解此攻击向量。

此外,Apple建议默认启用固件密码,并建议Microsoft设置启动PIN以防止第三方未经授权的访问。

在解决此问题之前,公司和组织应实施要求所有员工关闭计算机或将其设置为直接进入休眠状态的策略,因为“当计算机休眠或关闭时,加密密钥不会存储在RAM中。因此攻击者没有任何有价值的信息可以窃取,“F-Secure的研究团队表示。

Linux公社的RSS地址:https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址https://www.linuxidc.com/Linux/2018-09/154086.htm


8

本栏最新