Специалисты компании F-Secure обнаружили новый вектор использования так называемых «атак методом холодной перезагрузки» (Cold Boot Attack). Таким образом атакующие могут похитить самые разные данные с узявимой машины, в том числе хранящиеся на зашифрованных накопителях.

Cold boot атака – явление далеко не новое, данный способ компрометации был обнаружен еще в 2008 году. Классическая атака методом холодной перезагрузки, это side-channel атака, которая подразумевает, что злоумышленник имеет физический доступ к компьютеру, требует полной перезагрузки машины, либо ее выключения и изъятие модулей памяти. Так как после отключения питания данные в ОЗУ типа DRAM и SRAM сохраняются на протяжении некоторого времени, злоумышленник получает возможность извлечь из памяти пароли, ключи шифрования, учетные данные от корпоративных сетей и другую ценную информацию.

Хотя cold boot атаки по понятным причинам никогда не станут массовой проблемой, на протяжении последних лет производители ОС и железа внедряли в свои продукты различные защитные механизмы, мешающие реализовать такую компрометацию. Ведь в «зоне риска» все равно остаются, например, крупные корпорации, за чьими секретами могут охотиться злоумышленники, видные государственные и общественные деятели, и так далее. Одним из способов защиты от cold boot атак является принудительная перезапись содержимого ОЗУ после холодной перезагрузки и восстановления питания.

Эксперты F-Secure сообщают, что им удалось обойти защитные механизмы производителей и, внеся изменения в настройки прошивки, обойтись без принудительной «зачистки» памяти, что в итоге позволяет похитить ценную информацию классическим методом холодной перезагрузки.

Равно как и предыдущие варианты cold boot атак, подобная компрометация потребует физического доступа к устройству и специального оборудования, для извлечения оставшихся в ОЗУ данных. Однако перед проблемой уязвимы практически все современные компьютеры, в связи с чем специалисты уже уведомили о своей находке инженеров Microsoft, Intel и Apple. Видеоролик ниже, опубликованный исследователями, демонстрирует атаку на практике. Интересно, но несмотря на всю описанную сложность, компрометация занимает всего около двух минут.

«Это нелегкая для реализации задача, но она недостаточно сложна, чтобы помимо нас эту проблему не сумели найти и эксплуатировать какие-то злоумышленники, исключать такую возможность нельзя, — пишут эксперты F-Secure. — Это не та проблема, которой станут пользоваться преступники, преследующие легкие цели. Но атакующие, которые предпочитают “крупную рыбу”, вроде банков и больших компаний, сообразят, как этим воспользоваться».

Представители Microsoft отреагировали на предостережение специалистов, обновив руководство для BitLocker, а представители Apple заявили, что устройства с чипами T2 на борту находятся вне опасности. Инженеры Intel пока доклад специалистов никак не прокомментировали.

Сами специалисты F-Secure рекомендуют администраторами и сотрудникам ИТ-отделов настраивать свои машины таким образом, чтобы те сразу выключались или входили в режим гибернации, но не «засыпали», так как реализовать атаку на сто процентов, можно лишь задействовав sleep mode. Также настоятельно рекомендуется обязать пользователей вводить BitLocker PIN после каждого отключения компьютера и восстановления подачи питания.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии