เช็ด RAM ในขณะที่ปิดเครื่องเพื่อป้องกันการโจมตีด้วย Boot เย็น

20

ระบบของฉันถูกเข้ารหัสโดยใช้การเข้ารหัสดิสก์เต็มรูปแบบเช่นทุกอย่างยกเว้น / boot ถูกเข้ารหัสโดยใช้ dmcrypt / luks ฉันกำลังกังวลเกี่ยวกับการโจมตีเย็น Bootที่นักวิจัยแสดงให้เห็นถึงเนื้อหาที่สามารถนำมาสกัดประมาณ 5 นาที

คุณกรุณาให้คำแนะนำเกี่ยวกับ:

วิธีเรียก kexec ไปสู่เคอร์เนลใหม่ในขั้นตอนสุดท้ายของกระบวนการปิด / รีบูต (เพื่อให้แน่ใจว่า dismount ใหม่ทั้งหมดเพื่อป้องกันความเสียหายของระบบไฟล์เพื่อให้แน่ใจว่าเคอร์เนลเก่าถูกเขียนทับ)
วิธีสร้างเคอร์เนลนั้นซึ่งทำความสะอาดแรมทั้งหมด

เช่นคุณสามารถอธิบายได้โปรดวิธีการทำเช่นเดียวกันบน Ubuntu?

วิธีการตรวจสอบการปิดเครื่อง? จะเริ่มการล้าง RAM ได้อย่างไร RAM ควรถูกลบเมื่อผู้ใช้คลิก "ปิดเครื่อง" หรือถ้าเขาเริ่ม "panic script"

ขอบคุณสำหรับความพยายามของคุณ!

งานก่อนหน้า:

หากคุณต้องการที่จะเห็นคุณสมบัติกลายเป็นความจริงให้ลงคะแนนใน Ubuntu ระดมสมอง!

http://brainstorm.ubuntu.com/idea/30076/

security memory encryption

— James Mitch
แหล่งที่มา

6

คุณตั้งใจจะตรวจจับ "การปิดระบบ" ได้อย่างไร? พลังนั้นหมดไปเพียงแค่ไม่กี่สิ่งที่คุณสามารถทำได้ในซอฟต์แวร์ และเนื่องจากผู้โจมตีมีการเข้าถึงทางกายภาพการพึ่งพา USV จึงเป็นปัญหา ในการอ้างถึงบทความวิกิพีเดียที่คุณเชื่อมโยง: "เพื่อทำการโจมตีเครื่องจะทำการโคลด์บูตการโคลด์แบบเย็นหมายถึงเมื่อไฟฟ้าถูก" ปิด "และจากนั้น" เปิด "โดยไม่ให้คอมพิวเตอร์ปิดเครื่องอย่างหมดจดหรือหากมี , กดปุ่ม“ รีเซ็ต”.

— CodesInChaos

2

ใช้งานกรณี: มันเคาะประตู สถานการณ์ปัจจุบัน: คุณสามารถปิดระบบได้ แต่ใช้เวลา 5 นาทีจนกว่าการเข้ารหัสจะมีประสิทธิภาพ ด้วยสคริปต์การลบ RAM: กดปุ่มตกใจและทุกอย่างจะปลอดภัยทันที เมื่อสคริปต์พร้อมที่จะสามารถขยายได้อย่างง่ายดายไปใช้งานเมื่อถอดไดรฟ์ USB นั่นอาจใช้ได้ถ้าใครบางคนปล้นโน้ตบุ๊คถ้าเหยื่อนั้นเร็วพอที่จะเอาไดรฟ์ USB ออก

— James Mitch

4

บอกเราถ้าคุณมี RAM DDR2 หรือ DDR3 DDR3 นั้นทนทานต่อการโจมตีด้วย Cold Boot พวกเขาเก็บแรงดันไฟฟ้าไว้เพียงไม่กี่วินาทีหลังจากปิดเครื่อง หากคุณมาที่นี่แล้วให้ดึงปลั๊ก หากคุณมี RAM เก่ากว่า - ฉันจะเปิดใช้งานสองสิ่งใน BIOS - 1. เริ่มต้นอัตโนมัติหลังจากการสูญเสียพลังงานไปยังสถานะที่รู้จักล่าสุด 2. ขนาด Ram ตรวจสอบทุกครั้ง สิ่งนี้จะช่วยให้คุณดึงปลั๊กเสียบกลับไปที่ประตูในขณะที่ BIOS ของคุณจะล้าง RAM สำหรับคุณและโหลดระบบหลังจากนั้น นี่คือเร็วกว่านั้นคุณจะต้อง

— mnmnc

4

ในปี 2555 ไม่มีการโจมตีด้วย Cold Boot อีกต่อไปเว้นแต่ว่าคุณกำลังใช้แล็ปท็อปอายุ 10 ปี หากฉันต้องการเข้าถึงข้อมูลที่เข้ารหัสของคุณฉันจะใช้ช่องโหว่ด้านความปลอดภัยของระบบหรือส่งม้าโทรจันเพื่อรับข้อมูลของคุณให้ฉัน หน่วยงานของรัฐจะทำเช่นเดียวกัน การเจาะช่องโหว่และการพยายาม CBA มีความเสี่ยงเกินไปเนื่องจากอัลกอริทึมการเข้ารหัสที่มีอยู่ในปัจจุบัน มันจะเพียงพอที่จะมีสกรูที่ไม่ธรรมดาในกล่องของคุณและใครก็ตามที่พยายาม CBA จะปล่อยมือเปล่าหลังจากที่คุณดึงปลั๊ก

— mnmnc

6

คุณรู้ไหมความหวาดระแวงในระดับนี้จะทำให้พวกเฮลิคอปเตอร์สีดำสนใจในตัวคุณมากขึ้นเท่านั้น

— Daniel R Hicks

17

หากคุณไม่ได้ใช้ RAM เก่าเช่น DDR2, 512 MB หรือ 1024 MB คุณไม่ควรกังวลเกี่ยวกับ CBA

ดูงานวิจัยต้นฉบับที่นี่ (PDF)

หากคุณจะอ่านอย่างระมัดระวังคุณจะพบว่ามีเพียง DDR2 และรุ่นเก่าเท่านั้นที่มีแนวโน้มที่จะถูกโจมตีนี้ DDR3 สูญเสียแรงดันเร็วเกินไปที่จะอนุญาตให้ถอดเคสคอมพิวเตอร์และหยุดกระบวนการ ดังนั้นเพียงแค่ดึงปลั๊กก่อนที่จะตอบรับประตู

นอกจากนี้บทความนี้ยืนยันว่า DDR3 ไม่ไวต่อ CBA หากในความเป็นจริงคุณต้องการรักษาความปลอดภัยตัวเองเพราะคุณมี DDR2 RAM แล้วเปิดใช้งานใน BIOS:

เริ่มอัตโนมัติหลังจากการสูญเสียพลังงาน
ตรวจสอบ RAM ในเวลาบูต

และทำเช่นเดียวกันกับ DDR3 แต่หลังจากดึงปลั๊กแล้วให้เสียบกลับเข้าไปใหม่คอมพิวเตอร์ของคุณจะเริ่มต้นเองและล้างหน่วยความจำด้วยการตรวจสอบ หากไม่สามารถล้างข้อมูลได้อย่างมีประสิทธิภาพเพียงพอกระบวนการบูตจะโหลดระบบเข้าสู่ RAM อีกครั้ง มันจะเร็วเกินไปที่จะอนุญาตให้ CBA

จากลิงค์ที่คุณให้ไว้ในความคิดเห็น:

ดังนั้นโดยสรุปแล้วการโจมตีด้วยโคลด์บูตไม่ควรถูกมองว่าเป็นวิธีการหลักในการรับหน่วยความจำของระบบคอมพิวเตอร์ที่สงสัย แต่ควรใช้เทคนิคอื่น ๆ รวมถึงซอฟต์แวร์และฮาร์ดแวร์ (เช่น FireWire) ก่อนที่จะทำการโจมตีด้วยการบูตแบบเย็นกับระบบดังกล่าว อย่างไรก็ตามหากเกิดสถานการณ์ที่เทคนิคดังกล่าวไม่พร้อมใช้งาน (เช่นการขาดการเชื่อมต่อ FireWire หรือคอนโซลการเข้าสู่ระบบระบบหรือการซื้อหน่วยความจำระยะไกลเป็นไปไม่ได้) หรือไม่ได้ผลจากนั้นการโจมตีด้วยโคลด์บูตอาจสันนิษฐานได้ว่า วิธีการและปัญหาที่อาจเกิดขึ้นและไปเบี้ยว
ดังที่การศึกษานี้แสดงให้เห็นว่าการโจมตีด้วยความเย็นไม่สามารถพิสูจน์ได้ว่าเป็นเสียงทางนิติเวชหรือความน่าเชื่อถือโดยเฉพาะอย่างยิ่งเนื่องจากในการทดลองส่วนใหญ่ที่ดำเนินการในที่นี้กุญแจเข้ารหัสหน่วยความจำถิ่นที่อยู่ไม่สามารถพบได้ เดียวกันสามารถพูดได้สำหรับสตริงและการค้นหาคำหลักต่าง ๆ ซึ่งควรมีสตริงและคำค้นหามากกว่าที่พบสำหรับการทดลองส่วนใหญ่ ยิ่งกว่านั้นตามที่ได้แสดงให้เห็นแล้วการกระทำของหน่วยความจำคอมพิวเตอร์ที่แช่แข็งแฟลชไม่ได้รับประกันความสำเร็จในการได้มาซึ่งหน่วยความจำดังกล่าว ปัจจัยและตัวแปรอื่น ๆ ที่ตรวจสอบแล้วได้ตรวจสอบปัญหาเหล่านี้อย่างสมบูรณ์และสาเหตุที่แท้จริง ดังนั้น,
ในที่สุดแม้การซื้อกิจการที่ประสบความสำเร็จซึ่งได้รับความเดือดร้อนน้อยถึงไม่มีการย่อยสลายจะไม่เกิดขึ้นในศาลยุติธรรมว่าเป็นหลักฐานที่ดีอย่างน้อยก็จนกว่านิติศาสตร์จะเกิดขึ้นและความสมบูรณ์ของหน่วยความจำที่ได้มานั้น ระเบียบวิธีที่เข้าใจได้ การค้นหายังคงสร้างวิธีที่เหมาะสมและเชื่อถือได้มากขึ้นในการรับหน่วยความจำของคอมพิวเตอร์ของผู้ต้องสงสัย ...

นอกจากนี้หากคุณตรวจสอบผลการทดสอบคุณจะรู้ว่าพวกเขาประสบความสำเร็จในการแยกคีย์ AES ในระบบ 2 และ 6 และพวกนั้นคือ Warm Boot Attacks เมื่อคุณดูรายละเอียดของระบบ 2 - 1024 MB RAM 533 MHz - เป็นรุ่นเก่า สิ่ง ระบบอื่น - ระบบ 6 ที่มี 256 RAM / 128 RAM - ฉันเดาว่าอันนี้เป็นระบบอธิบายตนเอง

นี่คือเหตุผลที่ข้อสรุปของพวกเขาคือ:

การค้นหายังคงสร้างวิธีที่เหมาะสมและเชื่อถือได้มากขึ้นในการรับหน่วยความจำของคอมพิวเตอร์ของผู้ต้องสงสัย ...

จริงๆแล้วฉันเชื่อว่าหากคุณมีข้อมูลที่สำคัญมาก ๆ คุณไม่ควรใช้ Full Drive Encryption แต่ควรเก็บไว้ในไฟล์ที่เข้ารหัสแยกต่างหาก เข้ารหัสด้วยอัลกอริธึมแบบเรียงซ้อนและรหัสผ่านที่แตกต่างจากนั้นใช้ในระหว่างการเข้ารหัสดิสก์ คุณต้องการวิธีที่ปลอดภัยในการปิดเครื่องคอมพิวเตอร์หรือไม่ นี่มันคือ:

เก็บข้อมูลที่ปลอดภัยในไฟล์ Encrypeted ของอัลกอริธึม True Crypt
ใช้พญานาค
สร้างสคริปต์เพื่อจัดการกับการปิดระบบ:

สำหรับ Windows:

truecrypt.exe /wipecache
shutdown -s -f -t 1

สำหรับ Linux:

truecrypt /wipecache
shutdown -h now

เช็ดแคชช่วยให้มั่นใจได้ว่าไม่มีข้อมูลที่มีความเสี่ยงเหลืออยู่ใน RAM หลังจากปิดระบบ หากใครบางคนจะทำการโจมตีด้วย Cold Boot พวกเขาจะสามารถเข้าถึงระบบของคุณได้อย่างดีที่สุด พวกเขาจะไม่ได้เก็บข้อมูลในไฟล์ที่เข้ารหัสแยกต่างหาก

— mnmnc
แหล่งที่มา

1

ฉันพบกระดาษอีกฉบับจากปี 2010 dtic.mil/cgi-bin/GetTRDoc?AD=ADA545078 [PDF] บิตบางอันเกี่ยวกับ DD3 แต่มันไม่ได้บอกว่า DD3 ปลอดภัยต่อการโจมตีนี้

— James Mitch

2

ฉันไม่ไปกับข้อสรุปนี้ คำถามนี้ไม่ได้เกี่ยวกับการหลีกเลี่ยงการบังคับใช้กฎหมาย ในความเป็นจริงมันฆ่าการสนทนาหากคำถามเกี่ยวกับการบังคับใช้กฎหมายการหลบเลี่ยง อย่าพูดถึงการบังคับใช้กฎหมาย ให้พูดคุยเกี่ยวกับการจารกรรมทางอุตสาหกรรมคนที่มี RAM 4 หรือ 16 GB ขึ้นไปและทำงานอย่างใดอย่างหนึ่งราคาแพงเอกสารสำคัญสเก็ตช์ซอร์สโค้ด ฯลฯ เขาจะมีความสุขถ้าไม่สามารถแยกกุญแจเข้ารหัสได้ แต่ยังหลวม เงินจำนวนมากถ้าเอกสารของเขาถูกขโมยจาก RAM

— James Mitch

2

ในขณะที่ฉันเกลียดที่จะชี้แจงกรณีการใช้ ... ข้อมูลไม่เกี่ยวกับการได้รับการยอมรับในศาลเป็นหลักฐานหรือไม่ คนอื่น ๆ ก็มีเหตุผลที่ถูกต้องในการล้างแรม การบังคับใช้กฎหมายต้องการซ่อนโปรแกรมคุ้มครองพยาน หน่วยสืบราชการลับต้องการซ่อนความฉลาดของพวกเขา อุตสาหกรรมต้องการซ่อนความลับทางธุรกิจของพวกเขา หากคีย์การเข้ารหัสปลอดภัยดี ข้อมูลที่เหลือยังคงต้องการความปลอดภัยแม้เป็นบิต คำถามเดิมของฉันยังคงเปิดอยู่

— James Mitch

1

ฉันสามารถสร้างกรณีการใช้งานเพิ่มเติมที่ผู้คนเดินทาง ฯลฯ ... หลายคนเข้ารหัสไดรฟ์และหากพวกเขาทราบว่าส่วนของ RAM ของพวกเขาอาจถูกสร้างขึ้นใหม่พวกเขาต้องการดำเนินการเพื่อป้องกันปัญหานั้นถ้าคุณค้นหาการสนทนาเก่า ๆ Google คุณจะพบว่าคนส่วนใหญ่ไม่ทราบว่า RAM มีข้อมูล (ed) หลังจากพลังงานถูกตัด หากการเข้ารหัสดิสก์อาจถูกแทนที่ด้วยความปลอดภัยทางกายภาพคนจะไม่รำคาญกับการเข้ารหัสดิสก์ ทั้งการเข้ารหัสแนวคิดและการเข้ารหัสทางกายภาพมีสิทธิ์ที่จะมีอยู่ ความปลอดภัยใช้งานได้กับบิตเท่านั้น อันนี้ขาดหายไปนิดหน่อย

— James Mitch

1

ใช่ฉันเห็นด้วย ระดับความรู้ในหมู่คนยากจน แต่คุณจะไม่สามารถรวมโซลูชันที่จะทำให้ปลอดภัยยิ่งขึ้น การรักษาความปลอดภัยต้อง dyscypline ค่าเฉลี่ย Joe จะไม่ใช้การเข้ารหัสดิสก์เต็มเพราะเขากลัวว่าจะมีคนขโมยหมายเลขบัตรเครดิตของเขา หากคุณมีข้อมูลที่บอบบางที่คุณต้องการให้ปลอดภัยอย่างยิ่ง - ใช้ Truecrypt เพื่อสร้างไฟล์ที่เข้ารหัส - อย่าเข้ารหัสไดรฟ์ทั้งหมด Truecrypt มี swich 'เช็ด' ซึ่งจะลบคีย์อย่างถาวรจากหน่วยความจำแรมโดยเขียนทับมัน คุณสามารถวางไว้ในระยะเวลาอันสั้น อย่าล่าแมลงวันด้วยปืนใหญ่

— mnmnc

5

Peter AH Peterson ที่ UCLA ได้เขียนหลักฐานแนวคิดเทคโนโลยีและพัฒนาทฤษฎีสำหรับการใช้งานระบบของคุณอย่างปลอดภัยด้วย RAM ที่เข้ารหัสและโซลูชันได้รับการออกแบบโดยชัดแจ้งเพื่อป้องกันการโจมตีด้วยความเย็น ชื่อรายงานของเขาคือ Cryptkeeper ฉันไม่รู้ว่าเขาทำให้ซอฟต์แวร์พร้อมให้ดาวน์โหลดหรือถ้าเป็นไปได้ที่จะอนุญาตให้ใช้สิทธิ์จาก UCLA อย่างไรก็ตามเป็นไปได้ว่าอย่างน้อยที่สุดในหลักการแล้วก็คือการออกแบบระบบเข้ารหัสสำหรับ RAM ที่มีความปลอดภัยแม้ว่าเนื้อหาทั้งหมดของ RAM จะถูกเปิดเผย

ผลกระทบด้านประสิทธิภาพที่วัดได้ของโซลูชันนี้อยู่ระหว่างค่าใช้จ่าย 9% และการลดลง9 เท่าทั้งนี้ขึ้นอยู่กับสถานการณ์ "พยาธิสภาพ" ตัวเลข 9% นั้นอ้างถึงว่าใช้กับการท่องเว็บด้วย Firefox แต่พวกเขาไม่ได้ระบุว่ากรณีการใช้งานใดที่จะทำให้ประสิทธิภาพการทำงานช้าลงด้วยปัจจัย 9

วิธีการแก้ปัญหาของ Peterson ไม่ "เช็ด" RAM ตามที่คุณแนะนำ แต่จะใช้ "กลไกการซ่อนรหัสที่ปลอดภัย" เพื่อป้องกันการถอดรหัสคีย์จากการถูกเปิดเผยโดยอาศัยการได้รับเนื้อหาของ RAM ฉันไม่แน่ใจเกี่ยวกับรายละเอียดของการใช้งาน แต่ฉันคิดว่ามันอธิบายไว้ในบทความ

กระดาษถูกตีพิมพ์ในปี 2010

สามารถซื้อได้ในเว็บไซต์ ieeexplore ของ IEEE นอกจากนี้ยังมีให้ดาวน์โหลดโดยตรงในรูปแบบ PDF โดยไม่เสียค่าใช้จ่ายจากเว็บไซต์ของใครบางคน มันขึ้นอยู่ที่นั่นในผลการค้นหาของ Google สำหรับ "cryptkeeper RAM" ... แต่ฉันไม่แน่ใจว่าผลลัพธ์นั้นจะอยู่ที่นั่นนานแค่ไหน

ฉันถูกล่อลวงให้แสดงความคิดเห็นมากกว่าคำตอบเพราะวิธีนี้ไม่ได้ "ล้าง" RAM ตามที่คุณถาม อย่างไรก็ตามฉันเชื่อว่าหากการวิจัยของ Peterson นั้นถูกต้องทางเทคนิคสิ่งนี้จะมีผลในทางปฏิบัติที่เหมือนกัน - หรืออาจเป็นผลที่ "ดีกว่า" - มากกว่าการเช็ด RAM เหตุผลก็คือผู้โจมตีทางกายภาพที่มีทักษะอาจขัดจังหวะความพยายามของโปรแกรมระบบของคุณในการเช็ด RAM หากพวกเขาคาดหวังว่าการดำเนินการดังกล่าวจะเกิดขึ้น - ตัวอย่างเช่นการดึงแบตเตอรี่ออกจากเครื่องหรือกดปุ่มเปิดปิดค้างไว้ สมบูรณ์ โซลูชันของ Peterson มีความปลอดภัยมากขึ้นเนื่องจากไม่ได้ขึ้นอยู่กับช่วงเวลาที่จำเป็นซึ่งคอมพิวเตอร์ได้รับอนุญาตให้ดำเนินการตามคำแนะนำต่อไปเพื่อให้การล้างเสร็จสมบูรณ์ แต่หน่วยความจำอยู่ตลอดเวลา ได้รับการปกป้องแม้ว่าซีพียูจะถูกฆ่าทันทีด้วยเทคโนโลยีที่น่าทึ่งบางอย่างก่อนที่คุณจะมีโอกาสโต้ตอบกับผู้โจมตี

และด้วย "ความสำเร็จทางเทคโนโลยีที่เหลือเชื่อ" ฉันหมายถึงบางอย่างเช่น Stuxnet

— allquixotic
แหล่งที่มา

หาที่ดี +1 จากฉันแน่นอน แต่ไม่สามารถยืนยันได้ - คุณต้องจ่ายเงินเพื่ออ่านเอกสาร โดยส่วนตัวฉันจะไม่ไว้ใจมัน - ในขณะที่มันไม่ได้ใช้กันโดยทั่วไปมันมักจะมีข้อผิดพลาดในการใช้งานทั้งหมด ฉันจะรู้สึกอยากสร้างกำแพงคอนกรีตที่เป็นเหล็กด้านหน้าบ้านของฉันในขณะที่ไม่มีรั้วด้านหลัง

— mnmnc

ในทางกลับกันความจริงที่ว่ามันไม่ได้ใช้กันโดยทั่วไปทำให้ผู้โจมตีมีโอกาสน้อย มันเป็นเกมแมวและเมาส์อยู่ตลอดเวลาระหว่างผู้โจมตีและผู้พิทักษ์ ทางออกที่ดีที่สุดคือการมีระบบรักษาความปลอดภัยที่แข็งแกร่งอย่างแท้จริงซึ่งยังได้รับประโยชน์จากความสับสน / ไม่เป็นที่รู้จัก หากคุณไม่มีวิธีแก้ปัญหาที่ดีที่สุดอันดับสองคือการมีโซลูชันที่เป็นที่รู้จักและผ่านการทดสอบสาธารณะซึ่งมีประสิทธิภาพเช่น TLS อันนี้ไม่ได้ใช้กันอย่างแพร่หลายเช่น TLS ดังนั้นเรายังไม่รู้ว่ามันแข็งแกร่งหรือไม่ ฮึ่ม ปัญหาประเภท Cat หรือ Heisenberg ของ Schroedinger ไม่แน่นอน

— allquixotic

1

นอกจากนี้สำหรับข้อมูลของคุณผลบน Google สำหรับ "Cryptkeeper แรม" เป็นรูปแบบไฟล์ PDF ดาวน์โหลดโดยตรงของการวิจัยนี้นักวิจัยระดับบัณฑิตศึกษาของใช้ได้โดยตรงจากเว็บไซต์ของเขาเอง เห็นได้ชัดว่าชื่อเล่นของเขาคือเปโดรและโฮสต์ในโดเมน Delicioustronic.net ของเขา ดูที่นี่และที่นี่ เพื่อที่จะบอกฉันว่าเขาวางกระดาษบนเว็บไซต์ของเขาด้วยความตั้งใจของเขาเองและมันเป็นสาธารณสมบัติ หรืออย่างน้อยก็สามารถเข้าถึงได้แบบสาธารณะด้วย "shhhh ไม่บอก IEEE" ;-)

— allquixotic

มหัศจรรย์ ขอบคุณมากสำหรับลิงค์ มันจะเป็นการบรรยายที่น่าสนใจ

— mnmnc

ใช่น่าสนใจและปลอดภัยกว่าการล้าง RAM น่าเสียดายยิ่งกว่าที่ไม่สมจริงอีกต่อไป ดังนั้นฉันยินดีที่จะได้รับคำตอบสำหรับคำถามเดิม ไม่สมบูรณ์แบบ แต่ดี stopgap ขอบคุณสำหรับการแบ่งปัน.

— James Mitch

2

ฉันคิดว่าmemtest86น่าจะดีพอที่เช็ดแรม ฉันต้องการลองด้านล่าง แต่ไม่เคยลอง ถ้าฉันจะลองฉันจะอัปเดต

อ่านkexecหน้าคน และอย่าพยายาม. kexeciso แต่คุณต้องคลาย iso และขัดขวางไบนารีที่สามารถบู๊ตได้ ในเว็บไซต์ memtest86 ด้านบนคุณสามารถดาวน์โหลดไบนารีได้

คุณต้องใช้kexecคำสั่งเพื่อโหลดสิ่งที่คุณกำลังบูทก่อน

ดังนั้นฉันคิดว่าสิ่งที่คุณสามารถทำได้คือ:

kexec -l {path-to-memtest86-bootable-binary} --append=console=ttyS0,115200n8

และเมื่อคุณพร้อมที่จะเหนี่ยวไก:

kexec -e

ฉันกำลังคิด (แต่อาจผิด) ที่--append=console=ttyS0,115200n8ได้รับ memtest86 เพื่อทำงานผ่านพอร์ตอนุกรม ดังนั้นหากคุณมีสิ่งหนึ่งที่คุณสามารถตรวจสอบได้ว่ามันใช้งานได้ถึงแม้ว่ามันจะไม่ปรากฏในเอาต์พุตวิดีโอซึ่งเป็นไปได้เนื่องจาก memtest86 ไม่ทำการเริ่มต้นวิดีโอ การฆ่าอินสแตนซ์ที่ทำงานอยู่ของ X อาจเป็นความคิดที่ดี

kexec-toolsแพ็คเกจDebian (มีใน Ubuntu) จะเชื่อมโยงสิ่งนี้กับสคริปต์การปิดดังนั้นถ้าคุณแก้ไข/etc/default/kexecคุณสามารถบอกให้กระบวนการปิดการเรียกใช้kexecเป็นสิ่งสุดท้ายแทนการรีบูตเครื่อง นั่นคือถ้าคุณมีความสนใจในการปิดระบบที่สะอาด

ในกรณีฉุกเฉินกsync; kexec -eจะทำงาน

อย่างไรก็ตามอาจเป็นไปได้ที่จะมีชิปเซ็ตบางตัวเมื่อเริ่มต้นแล้วจะทำให้เกิดการค้างหากเกิดปัญหาขึ้นกับหน่วยความจำ ฉันไม่รู้ว่ามันจะทำงานอย่างไรในทางปฏิบัติ

การประนีประนอมที่ดีหากkexecไม่ได้ทำงานคือการติดตั้ง memtest86 ใน bootloader ของคุณวางไว้ในรายการบูตเริ่มต้นและมีความล่าช้า 1 วินาทีจนกว่าการเลือกอัตโนมัติ (หรือไม่มีการหน่วงเวลา สิ่งนี้อาจทำให้คุณเข้าสู่ memtest86 จากสภาพ "บูตสด" ได้อย่างรวดเร็ว แต่ไม่ทันที

โปรดทราบว่านี่ไม่ได้หมายถึง video RAM ทางออกสำหรับการติดตั้ง RAM วิดีโอของคุณเป็นอุปกรณ์บล็อกและส่งออก/dev/randomไปยังอุปกรณ์บล็อกสำหรับการทำซ้ำสองสามครั้ง

— LawrenceC
แหล่งที่มา

2

มองมันและ google และอื่น ๆ ตามtails.boum.org/bugs/sdmem_does_not_clear_all_memory/ ......มีปัญหาที่เหลืออีกหนึ่งเรื่องที่มี memtest: "ยังมีหน่วยความจำจำนวนเล็กน้อยที่ไม่ถูกลบ" ขอบคุณอย่างไรก็ตามสิ่ง kexec ดูมีประโยชน์และใช้งานง่าย

— James Mitch

2

นี่เป็นคำถามเก่า แต่ฉันคิดว่าฉันสามารถมีส่วนร่วม ดังที่ได้กล่าวไว้ก่อนหน้าการล้างหน่วยความจำที่ใช้ซอฟต์แวร์ไม่ใช่ทางออกที่ดีที่สุดเพียงเพราะพลังงานสามารถถูกตัดออกในทันทีดังนั้นซอฟต์แวร์เช็ดจะไม่ถูกดำเนินการ

ฉันสามารถจินตนาการถึงสถานการณ์ที่ดีที่สุดเพื่อแสดงให้เห็นถึงปัญหา: คุณดำเนินธุรกิจที่ผิดกฎหมายบนคอมพิวเตอร์ในบ้านของคุณ อยู่มาวันหนึ่งพลังงานไฟฟ้าก็หายไปอย่างรวดเร็วจากนั้นทีม FBI ก็บุกเข้าประตูบ้านของคุณจับคุณแล้วช่างผู้ชำนาญจะเปิดเคสคอมพิวเตอร์ของคุณอย่างรวดเร็วและใช้แก๊สเย็นเพื่อแช่แข็งสถานะหน่วยความจำเพื่อซื้อ เวลาที่จะโจมตีแบบ Cold Boot

ดังนั้นวิธีที่ดีที่สุดในการแก้ปัญหานี้คือการทำให้เคสคอมพิวเตอร์ปลอดภัยขึ้นโดยทำให้ยากต่อการเปิด (บางอย่างเช่นตู้นิรภัย) หรือแม้แต่ทำลายหน่วยความจำด้วยการทำให้บอร์ดร้อนขึ้นโดยใช้ความต้านทานจากแบตเตอรี่ สลับในกรณี ไม่กี่วินาทีที่อุณหภูมิสูงสามารถทำลายข้อมูลหรือทำลายชิปแม่มดไม่ได้เป็นปัญหาใหญ่ในสถานการณ์นี้

— Daniel Ribeiro
แหล่งที่มา

ฉันมักจะคิดถึง thermite ที่นี่ :-)

— Konrad Gajewski

1

Thermite เป็นทางออกที่ดี ... ง่ายต่อการจุดติดไฟและเป็นไปไม่ได้ที่จะหยุดยั้งปฏิกิริยา คุณเพียงแค่ต้องสร้างวงจรกระตุ้นให้ปลอดภัย ... เพราะถ้ามันเริ่มต้นปฏิกิริยาโดยบังเอิญคุณจะมีช่วงเวลาที่ยากลำบากมาก

— Daniel Ribeiro

0

ปัญหาคือถ้าคอมพิวเตอร์ของคุณทำงานและหน้าจอถูกล็อค ณ จุดนี้คีย์ AES จะถูกเก็บไว้ใน RAM และผู้ใช้อยู่ห่างจากคอมพิวเตอร์ ผู้บุกรุกสามารถเปิดเคสคอมพิวเตอร์และถอดโมดูล RAM ในขณะที่ยังคงทำงานและวางไว้ในอุปกรณ์แยกต่างหากที่อ่านเนื้อหาของพวกเขา ไม่จำเป็นต้องปิดระบบหรือหยุดการทำงานของโมดูลก่อนทำการแตก RAM ไม่เชื่อถือได้ในการกดปุ่ม AES แต่แคชของตัวประมวลผลเหมือนกับโซลูชันที่ชื่อ TRESOR น่าเสียดายที่ต้องใช้เคอร์เนล Linux เก่าและมีความรู้ขั้นสูงในการแก้ไขและรวบรวมเคอร์เนล

— ดีเร็ก
แหล่งที่มา

การเรียกร้องเพื่อสนับสนุน ram ถือคีย์ aes หรือไม่

— Blueberry - Vignesh4303

สิ่งนี้แสดงว่าคุณไม่เข้าใจว่า ram ทำงานอย่างไรคุณต้องมีตัวควบคุม ram เพื่อรีเฟรชทุกๆ N ms เพื่อเก็บข้อมูล

— Geoffrey

-2

ขออภัยคุณกำลังหวาดระแวง ครั้งแรกตามที่ผู้ใช้รายอื่นระบุว่าเห็นได้ชัดว่าการโจมตีด้วย Cold Boot ใช้งานได้กับฮาร์ดแวร์รุ่นเก่าเท่านั้น

หากคุณยังคิดว่าเป็นภัยคุกคามการเช็ดไม่ใช่วิธีแก้ปัญหา

การโจมตีด้วย Boot เย็นเกี่ยวข้องกับ:

เย็นเครื่องบูต
การบูตระบบปฏิบัติการที่มีน้ำหนักเบาเพื่อกำจัดคีย์การเข้ารหัสจากหน่วยความจำ

หากใครบางคนจัดการทำการบูตความเย็นแล้วเห็นได้ชัดว่าที่ปัดน้ำฝนของคุณจะไม่มีโอกาสวิ่ง ดังนั้นจึงไม่มีเหตุผลที่จะติดตั้ง

นี่เป็นกรณีหลักของการโจมตี ตอนนี้สมมติว่าผู้โจมตีไม่ต้องการที่จะเปิดเครื่องเซิร์ฟเวอร์ของตัวเอง (เช่นเพราะจะทำให้เกิดการแจ้งเตือนการตรวจสอบ) แทนที่จะรอให้ทำการโจมตีภายใน 5 'ของการปิดระบบทั้งหมด ในกรณีนี้:

ที่ปัดน้ำฝน RAM ทั่วไปจะไม่ทำอะไรให้คุณดีเช่นกัน เนื่องจากผู้โจมตีถูกสันนิษฐานว่ามีอยู่จริงเพื่อเปิดเครื่องและขับกุญแจเธอจึงสามารถบูตเครื่องเย็นได้ก่อนที่จะเริ่มทำงาน (คาดว่าจะมีการแจ้งเตือนการตรวจสอบ ณ จุดนี้)
โปรแกรมพิเศษที่จะทำการล้างตำแหน่งที่แน่นอนของคีย์เข้ารหัส FS ก่อนที่จะลบส่วนที่เหลือของ RAM (เช่นที่truecrypt /wipecacheกล่าวถึงโดย mnmnc) อาจทำให้งานของผู้โจมตียากขึ้น ยังคง:
- ผู้โจมตียังสามารถดักจับเนื้อหา RAM บางส่วนได้โดยไม่ปล่อยให้ที่ปัดน้ำฝนทำงานตลอดทั้ง RAM แต่อย่างน้อยข้อมูลจำนวนมากใน FS จะปลอดภัย
- วิธีแก้ปัญหาจะไม่สามารถป้องกันได้ 100% แต่จะทำให้ยากขึ้นสำหรับผู้โจมตีที่จะต้องใช้เวลาในการบูตความเย็น

ดังนั้นหากคุณกังวลเกี่ยวกับการโจมตีครั้งนี้ฉันขอแนะนำให้คุณเรียนรู้กังฟูและป้องกันตัวเองนาน 5 นาทีถัดจากเครื่องทุกครั้งที่คุณปิดเครื่อง หรืออาจใช้รหัสผ่านการบูตใน BIOS ของคุณ? มาตรการที่แนะนำทั้งสองไม่จำเป็นต้องมีประสิทธิภาพ 100%: ผู้โจมตีอาจยังเอาชนะคุณและอ่านรหัสผ่าน BIOS จาก MB ของคุณโดยใช้วิธีการทางเทคนิค คุณเพียงแค่ต้องหน่วงเวลาเป็น 5 'เพื่อให้หน้าต่างเวลาการโจมตีหมดอายุ

ในที่สุดหากคุณกังวลว่าใครบางคนแสดงความสามารถทั้งหมดได้จากระยะไกลคุณจะต้องพยายามอย่างหนัก

— m000
แหล่งที่มา

2

มันใช้งานได้เฉพาะกับฮาร์ดแวร์รุ่นเก่าเท่านั้นที่ไม่ได้รับการพิสูจน์ ฉันโพสต์สิ่งนี้ในฟอรัมความปลอดภัย! หวาดระแวงหรือไม่ หากคุณไม่มีอะไรจะเพิ่มที่สร้างสรรค์อย่าตอบ ให้คนหวาดระแวงพูดคุยเรื่องสิ่งของหวาดระแวงของพวกเขา มีหลายคนที่ถกเถียงกันเรื่องนี้ฉันจะเพิ่มลิงก์ไปยังคำถามเดิม

— James Mitch

คุณหมายถึงอะไรที่สร้างสรรค์? ฉันให้รายละเอียดว่าการลบหน่วยความจำนั้นเป็นวิธีการตอบโต้ที่ไม่มีประสิทธิภาพสำหรับการโจมตีครั้งนี้อย่างไร คนที่พูดถึงข้อเสนอของคุณเพื่อล้างหน่วยความจำไม่ได้ทำให้มาตรการตอบโต้การโจมตีที่ถูกต้อง การพูดอย่างตรงไปตรงมาเป็นเรื่องน่าสนใจทางเทคนิคที่จะเพิ่มที่ปัดน้ำฝนนี้ แต่เพียงเพื่อประโยชน์ของมัน ไม่ใช่เพราะมันจะป้องกันการโจมตีด้วยความเย็น

— m000

"การโจมตีด้วย Boot เย็นเกี่ยวข้องกับการบูตเครื่องเย็น"> ผิด หน่วยความจำจะถูกลบออกและระบายความร้อนด้วยน้ำแข็งแห้ง; "กำลังบูตระบบปฏิบัติการน้ำหนักเบาเพื่อไล่คีย์เข้ารหัสจากหน่วยความจำ"> ผิด หลังจาก RAM เย็นตัวแล้วจะสามารถตรวจสอบได้ในเครื่องอื่น เพียงมองคำถามเดิมมีลิงก์ไปยังการสาธิตด้วยน้ำแข็งแห้ง

— James Mitch

1

เกี่ยวกับ DDR2 กับ DDR 3: คุณจะไม่พบบทความวิจัยที่อ้างว่าสถานการณ์ดีขึ้นเพราะ DDR 3 นั่นเป็นเพียงข้อเรียกร้องที่ไม่ผ่านการพิสูจน์ ส่งบทความวิจัยทางไปรษณีย์พวกเขาจะไม่บอก DD3 ว่าปลอดภัยยิ่งขึ้น

— James Mitch

1

@JamesMitch "คุณจะไม่พบบทความวิจัยที่อ้างว่าสถานการณ์ดีขึ้นเพราะ DDR 3" บางทีคุณอาจจะไม่พบบทความใด ๆ แต่ฉันคิดว่าถ้าผู้เขียน TrueCrypt อ้างว่าเป็นแบบนั้น - เราสามารถเชื่อถือได้ ลองดูที่นี่: truecrypt.org/docs/?s=unencrypted-data-in-ramและอ่านเครื่องหมายดอกจันแรก * ที่ด้านล่าง ข้อความอ้างอิง: "โมดูลหน่วยความจำชนิดใหม่ที่ถูกกล่าวหาว่ามีระยะเวลาการสลายตัวที่สั้นกว่ามาก (เช่น 1.5-2.5 วินาที) กว่ารุ่นเก่า (จนถึงปี 2008)" นั่นหมายความว่าตั้งแต่ปี 2008 มีการเปลี่ยนแปลงใน RAM ...

— mnmnc