Dakikalar içinde edinin, yeni bir soğuk başlatma saldırısı türü, bilgisayar korsanlarının kullanıcı parolalarını çalmasına yardımcı olur
Soğuk başlatma saldırısının güncellenmiş sürümü, saldırganın güvenlik mekanizmasını atlamasına ve cihaz kapatıldıktan sonra bellekte ve sabit disk şifreleme anahtarında kalan verilere erişmesine olanak tanır. Araştırmacılar, Apple, Dell, Lenovo ve diğer büyük teknoloji şirketlerinin cihazlarının tümünün bu saldırıdan etkilendiğini bildirdi.
Soğuk başlatma saldırısı yöntemi ilk olarak 2008'de bilgisayarlara saldırmak için kullanıldı ve daha sonra 2013'te Android telefonlara saldırdığı keşfedildi. Bu saldırı yöntemi, "kalıcı manyetizasyon etkisini" iyi bir şekilde kullanır, yani, cihaz kapatıldığında, bazı bilgiler hala cihazın hafızasında saklanacaktır Cihazın sıcaklığı ne kadar düşükse, bilgiler o kadar uzun süre saklanacaktır.
Bilgisayar belleğinin "kalıcı mıknatıslanma etkisine" dayanarak, güvenlik araştırmacıları, bir elektrik kesintisinden sonra bile çalışan, şifreleme anahtarları gibi hassas verileri RAM'den çıkarmak için bir saldırı yöntemi buldular.
Soğuk başlangıç saldırısı nedir
Soğuk Önyükleme Saldırısı (Soğuk Önyükleme Saldırısı), çalışan (veya uyuyan) bir bilgisayarı "soğuk başlatarak" bellekteki verileri çalan fiziksel bir izinsiz giriş yöntemidir (uzaktan ağa izinsiz girişten farklıdır). Bu saldırı yöntemi, belleğin çalışma prensibini kullanır: bellek bir dizi bellek hücresinden oluşur.Her bellek hücresi aslında bir kapasitördür. Bellek kapatıldığında, kapasitör kademeli olarak boşalır. Birkaç saniye sonra kapasitör boşalır. Veriler de silinir. Araştırmacılar, düşük sıcaklıklı ortamlarda kapasitörlerin deşarj hızının önemli ölçüde yavaşladığını ve hafızadaki veri temizleme hızının da buna göre yavaşladığını buldu.Deneyler, sıcaklık -50 ° C olduğunda, 10 dakikalık elektrik kesintisinden sonra bellekteki veri düşüş oranının% 1'i geçmediğini gösterdi . Belleğin bu özelliği, soğuk başlatma saldırılarının uygulanmasını mümkün kılar.
Bu tür saldırı, soğuk başlatma projesi kullanır ve bilgisayar RAM'inin (rasgele erişim belleği) bir özelliğinden yararlanır. Hepimizin bildiği gibi, bir elektrik kesintisinden sonra RAM'in veri depolama yeteneği kararsızdır, ancak verileri düşük sıcaklık koşullarında birkaç dakikaya kadar saklayabilir ve bu da saldırganlara bir fırsat verir.
Soğuk çalıştırma saldırılarının erken önlenmesi
İlk soğuk başlangıç saldırısı on yıl önce meydana geldi. Bu tür yan kanal saldırısı, bilgisayara fiziksel erişim gerektirir ve işlemin zorluğu, bilgisayarı daha geniş bir tabana sahip sıradan kullanıcılar yerine yüksek değerli hedefler için daha uygun hale getirir. Buna rağmen, bilgisayar üreticileri zaten hedefli önleyici tedbirler tasarladılar.
Yan kanal saldırısı olarak da bilinen yan kanal saldırısı (SCA): Şifreli elektronik cihazın çalışması sırasında zaman tüketimi, güç tüketimi veya elektromanyetik radyasyon gibi yan kanal bilgilerinin sızmasına karşı şifreli cihaza saldırmanın yöntemi Buna yan kanal saldırısı denir. Bu yeni saldırı türünün etkinliği, kriptanalizin matematiksel yöntemlerinden çok daha yüksektir ve bu nedenle kriptografik cihazlar için ciddi bir tehdit oluşturmaktadır.
AMD, HP, IBM, Intel ve Microsoft tarafından kurulan bir ittifak olan Trusted Computing Group (TCG), güç geri geldiğinde hemen RAM içeriğinin üzerine yazarak bilgisayarları bu tür saldırılardan korumaya karar verdi. Bu, endüstride TCG sıfırlama saldırısını azaltma veya MORLock (Bellek Üzerine Yazma İsteği Kontrolü) olarak bilinir.
TCG, kişisel bilgisayarlar için güvenilir bilgi işlem kavramını oluşturmayı amaçlamaktadır. Organizasyon 2003 yılında kuruldu ve 1999'da kurulan Güvenilir Bilgi İşlem Platformu Birliği'nin (TCPA) yerini aldı. Organizasyon dünya çapında tüm kıtalarda 190 üye ve büyük üretici geliştirmiştir.
Bu tür bir işlem sayesinde, sistem yeniden başladığında, saldırgan düşük sıcaklık koşulunu korumak için hızlı harekete geçse bile (böylece bellekteki veriler bir süre saklanabilir), bellekteki tüm bilgiler iz bırakmadan kaybolur. Saldırganın başlayacak yeri yok.
MorLock işlevi başarısız oluyor
F-Secure güvenlik danışmanları Olle Segerdahl ve PasiSaarinen, cihaz donanımında fiziksel değişiklikler yaparak soğuk başlatma saldırısı gerçekleştirmenin bir yolunu buldu. Donanımı kontrol etmek, bir saldırganın, sistem yeniden başlatıldıktan sonra belleğin üzerine yazmak için tasarlanmış işlevi devre dışı bırakmasına ve aygıtı harici bir aygıttan (USB flash sürücü gibi) önyükleme yapacak şekilde yapılandırmasına neden olabilir. Saldırgan daha sonra özel olarak oluşturulmuş bir USB sürücüsü aracılığıyla soğuk başlatma saldırısı gerçekleştirebilir. USB sürücüsü, bir saldırganın önyükleme öncesi belleğin içeriğini bir dosyaya aktarmasına olanak tanıyan bir yazılım içerir.
Şifreleme anahtarı sürecini çalmak için soğuk saldırı saldırısı:
1. Saldırganın dizüstü bilgisayarla fiziksel teması vardı
2. Saldırgan, aygıt yazılımı ayarlarını değiştirir
3. Saldırgan, USB sürücüsünde soğuk yeniden başlatma işlemi gerçekleştirir
4. Saldırgan, şifreleme anahtarını bellekten alır
Tasarladıkları soğuk saldırı, uyku modunda bir bilgisayarda çalışabilir, çünkü kapatma ve hazırda bekletme işlemleri aygıtın gücünü keserek kalan RAM'in hızla bozulmasına ve kurtarılamamasına neden olur. Uyku modundayken, bilgisayar durumu RAM'e kaydedilir ve RAM, verileri kaydetmek için minimum güçte çalışır.
Şifreyi almak için iki dakika yeterli
İki araştırmacı, saldırgan tamamen hazır olduğunda saldırıyı gerçekleştirmek için yalnızca iki dakika süren yeni bir soğuk başlatma saldırısı gösterdi.
Gösteride, dizüstü bilgisayarın sahibi, dizüstü bilgisayarı uyku moduna geçirmek için geçici olarak ekranı terk eder ve kapatır.Saldırgan, dizüstü bilgisayarın arka kapağını çıkarır ve belleği fiziksel yollarla hızlı bir şekilde soğutmak için bir soğutma spreyi kullanır (videoda SOIC-8 yonga tutucu kullanılır) Bellek MOR değişkenini (bellek yeniden yazma isteği) 0 olarak ayarlayın ve ardından sistem başlatma sırasını değiştirin (USB flash sürücüden önyükleme). USB flash sürücü, bellek taramak için bir program içeren geliştirilmiş bir Linux sistemidir. Saldırgan tarama sonuçlarını görüntüleyebilir İstediğiniz verileri çıkarın.
Bu saldırı işlemi için en kritik zaman noktası, kullanıcının bilgisayarı kapatması ile yeniden başlatması arasında geçen süredir. RAM çipinin soğuk işlenmesi, verileri olabildiğince uzun süre kaydedebilir ve verileri çalmak üzere programı başlatmak için U diskini yerleştirmek için yeterli çalışma süresi elde edebilir. Bu teknolojinin kullanılması, sabit disk şifreleme anahtarları dahil olmak üzere bilgisayar belleğindeki verileri çalabilir.
BitLocker söz konusu olduğunda, önyükleme öncesi kimlik doğrulaması için bir PIN tanımlama kodu kullanacak şekilde yapılandırılmışsa, saldırının denemek için yalnızca bir şansı vardır, çünkü kod, şifreleme anahtarını RAM'e çıkarmak için gereklidir.
Araştırmacılar, kullanıcı bir Windows bilgisayarı kullanıyorsa, BitLocker'ın cihaz başladığında bir PIN kodu isteyecek şekilde yapılandırılması gerektiğini söyledi.
Olle Segerdahl, "Bu kolay bir iş değil, ancak bizim için bulması ve dikkat etmesi zor bir sorun değil, bu nedenle bazı saldırganların bu sorunu keşfetme olasılığını görmezden geliyoruz." Dao, bazı daha kolay hedefler için saldırganlar daha az ilgilenebilir, ancak "bankalara veya büyük şirketlere yönelik saldırılar gibi büyük ölçekli kimlik avı" yapmaya daha isteklidirler.
Soğuk başlangıç saldırılarına karşı savunma
Uzmanların ilk tavsiyesi, dizüstü bilgisayarı uyku moduna girmek yerine kapanacak veya hazırda bekletilecek şekilde ayarlamaktır. Karma önyükleme öncesi kimlik doğrulaması, bilgisayarın savunma kapasitesini büyük ölçüde geliştirir.
Bilgisayar uyku ile hazırda bekletme arasındaki fark:
Uyku sırasında, hafızaya hala güç verilmektedir ve tüm veriler kaydedilecektir Bu sırada, güç tüketimi çok düşüktür ve hızlı bir şekilde geri yüklenebilir;
Hazırda bekletme sırasında, veriler de kaydedilir, ancak sabit diske kaydedilmiştir.Şu anda, güç kesilebilir, bu da kapatmaya eşdeğerdir, ancak devam ettiğinde, hazırda bekletme modundan önceki çalışma durumuna geri yüklenebilir.
Araştırmacılar tarafından bilgilendirildikten sonra, kullanıcı verilerinin güvenliğini korumak için Microsoft, Bitlocker karşı önlemler sayfasını, MOR fiziksel saldırılara karşı savunma yapamadığında bir uyarı verecek şekilde güncelledi.
Apple, bu tür soğuk başlatma saldırılarına yanıt olarak, yeni nesil Mac dizüstü bilgisayarlarına da yanıt verdi.T2 yonga ile donatılmış Mac aygıtlarında yer alan güvenlik önlemleri, aygıtları soğuk başlatma saldırılarına karşı korumalıdır.T2 yongası olmayanların kullanılması önerilir Kullanıcı, ürün yazılımı kodunu ayarlar.
Orijinal makale, yazar: M0tto1n, Yeniden basıldı:
