web-dev-qa-db-ja.com

「RAMの取り外し」はどのようにセキュリティリスクですか?

今日、私は「倫理的ハッキング」に関するビデオを見ていましたが、ハードウェア攻撃について話している間、ナレーターは次のように述べました。

RAMまたはコンポーネントをデスクトップまたはラップトップから削除する

これがスクリーンショットです: BIZARRE!!!

ストレージドライブのようなものを削除することはセキュリティリスクであることを理解していますが、RAMを削除する削除する?それができる最大はシステムの速度を落とすことですが、それ以外にどのようにセキュリティリスクがありますか?

vulnerabilityhardwarephysicalphysical-access
79
undo

RAMは、多くの場合、機密の非永続的な情報を格納するために使用されます。暗号化キーが一般的な例です。

RAMを削除し、別のデバイスに配置して内容をダンプすることも可能です。多くの場合、液体窒素を使用します。

詳細については、 コールドブート攻撃に関するWikipediaの記事 を参照してください。

116
Peleus

どこかにログインすると(ブラウザやアプリケーションなど)、入力したパスワードは一時的にRAM=に保存され、正しいパスワードと比較されます。ほとんどのアプリケーションではRAMは安全であり、すべてを消去するわけではないので、RAMメモリにパスワードとプライバシーに敏感なデータが含まれている可能性があります(そして、多くの場合そうしています)。

現在RAMは停電時にデータを失うと言われていますが、これは非常にゆっくりと予測可能なほど十分に遅いので、攻撃者がコンテンツを読み取って見ることができる時間枠を提供します。これは( コールドブート攻撃

25
Luc

より多くの文脈なしでは、それは完全に明確ではありませんが、上記の行と組み合わせると(「盗むequipment "、「...ストレージデバイス/コンピューター」ではありません)、単純な盗難を指す可能性があります。これは、数年前のRAM価格が高かったときの問題でした。非常に移植性があります。

または、DOS-by-theftが問題になる可能性があります。同じスライドは、通信を妨げる「切断光ファイバーのバックボーン」に言及しており、盗聴を意味する可能性が高いファイバーに「侵入」することはありません。もちろん、ケーブルの破損や機器の盗難が発生した場合の復旧手順がメインラインのプロセスほど安全ではない場合、データが失われる可能性があります。

16
Chris H

RAMを削除すると、システムがより多くスワップするように強制される可能性があるため、RAMに保存されている機密情報が、回復ははるかに簡単です。

13
Thomas

システムの動作によっては、RAMをフリーズして分析するためにそれをダンプすることには多くの価値があるかもしれません。

RAMには多くの形があります-多くのタイプのサーバーには特別なRAMパリティビットが含まれているため、RAMのすぐ上にブロックに記録された最後のこと、実際にそのRAMにあったものを回復することを本当に気にかけている場合、それはよりはるかに可能性が高いです-サーバーが与えられた場合、それははるかに可能性がありますRAMはホームユーザーRAM。

攻撃者が探しているものを知っている場合、攻撃のタイプは特定のタスクに非常に集中します。つまり、回線を盗んだり、ハードウェアを盗んだり、キーロガーを植えたりすることです。しかし、RAMのメモリを盗むことは間違いなく可能です。それは分析するのが面倒ですが、RAMを盗むために強盗を計画している場合は、おそらく誰かがいます。技術的なノウハウで利益を上げています。

4
Tommy

スライドでは、これらは物理的な攻撃ベクトルであることを述べています。スライドデッキの完全なコンテキストはわかりませんが、システムからRAMを削除するだけで、アプリケーションまたはシステムが問題を引き起こす可能性があります。

物理的またはサイバー的なほとんどの攻撃の目標は、サービスを妨害したり、情報を盗んだり、長期的な悪意のあるもの(ボットネットなど)のバックドアアクセスを取得したりすることです。理論的には、RAMが差し込まれていないところからデータが盗まれる可能性がありますが、ここでのより大きな脅威は、サービス拒否攻撃の線に沿っていると思います。

攻撃者がサーバーへの物理的なアクセスを取得できる場合、RAMをそのサーバーの操作に不可欠なものとして盗むと、サーバーが失敗する可能性があります。allを盗んだ場合RAM質問で述べたようにシステムを遅くするだけでなく、システムの機能を完全に妨げます。次に、一部のRAMはより離散的であり、気付かれない場合、オペレーターはシステムの誤動作の根本原因を特定するのに苦労する可能性があります(特に、システムがメモリ内データベースアプリケーションなどのRAMに大きく依存している場合)たとえば、TimesTen DB)。

もちろん、箇条書き自体はハードウェア自体への物理的な攻撃にまで拡大することができますが、RAMを盗むことはおそらく最も離散的であり、ハードウェアにアクセスするための短い時間枠。

2
LegendaryDude

他のユーザーの発言を繰り返すと、すべてのRAMを削除してサーバーまたはデバイスをシャットダウンできるだけでなく、暗号化キーを盗むこともできます。プロセスは通常、ラムを凍結し、取り外してから、分析できる別のマシンに配置するように見えます。これは機能します。通常、RAMの電源が失われると、すべてのデータが失われますが、RAMが非常に低い温度に凍結されると、電子とデータが本質的にRAMに「滞留」し、攻撃者がRAMを取り除くのに十分な時間が与えられるからです電源を入れ、悪意のあるシステムに再接続します。

0
Andrew Wright

RAMからデータを盗むことが可能です。

1)RAMデータおよびアドレスバスへの外部接続がある場合。 2)すべてのデータをRAMのデータバスに送信できるようにする方法があります(システムに影響を与えずにそれを行うプログラムを持つことのみ可能)。 3)プログラムはカーネルと同じレベルで実行する必要があります。

つまり、RAMからデータを盗むためのプログラム(またはウイルスやセキュリティホール)が必要です。

0
Hello