Come è "Rimozione della RAM" un rischio per la sicurezza?

RAM viene utilizzata per archiviare informazioni sensibili non persistenti in molti casi. Le chiavi di crittografia sarebbero un esempio comune.

A volte è possibile rimuovere la RAM e posizionarla su un altro dispositivo per scaricare i contenuti, spesso con l'aiuto dell'azoto liquido.

Per ulteriori informazioni, consulta l' articolo di Wikipedia per l'attacco all'avvio a freddo .

Se si effettua il login da qualche parte (ad esempio in un browser o in alcune applicazioni), la password digitata viene temporaneamente archiviata nella RAM per il confronto con la password corretta. La maggior parte delle applicazioni presuppone che la RAM sia sicura e non cancella tutto, quindi potrebbe (e spesso accade) che la memoria RAM contenga password e dati riservati alla privacy.

Ora si dice che la RAM perde i dati in caso di perdita di potenza, ma lo fa abbastanza lentamente e in modo abbastanza prevedibile da fornire una finestra di tempo in cui gli aggressori possono leggere il contenuto alla ricerca. Questo è chiamato attacco di avvio a freddo .

Senza più contesto non è completamente chiaro, ma combinato con la riga sopra ("rubare equipment ", non "... dispositivi di archiviazione / computer") potrebbero riferirsi a un semplice furto. Questo era un problema alcuni anni fa, quando i prezzi della RAM erano alti: è molto portatile.

In alternativa, DOS-by-theft potrebbe essere un problema. La stessa diapositiva si riferisce a " Taglio di una spina dorsale in fibra ottica" che impedirebbe la comunicazione e non "spezzando" la fibra che sarebbe più probabile che significasse intercettazioni. Naturalmente, se le procedure di recupero in caso di interruzione del cavo o di furto di apparecchiature non sono sicure come i processi principali, ciò potrebbe lasciare l'utente esposto alla perdita di dati.

Rimuovere la RAM può forzare un sistema a scambiare di più quindi forse c'è una piccola ma maggiore possibilità che le informazioni sensibili memorizzate nella RAM vengano scritte su un disco rigido dove è molto più facile da recuperare.

A seconda di ciò che stava facendo il sistema, potrebbe esserci molto valore nel congelare la RAM e scaricarla per analizzarla.

La RAM assume molte forme - molti tipi di server hanno RAM speciale che contengono bit di parità, quindi in cima alla RAM non "dimenticando" immediatamente l'ultima cosa registrata in un blocco, in realtà è molto più probabile se davvero ci tenevamo davvero a recuperare ciò che c'era su quella RAM - è molto più possibile dato che la RAM del server è costruita per avere la protezione dagli errori rispetto alla RAM homeuser.

Il tipo di attacco, se gli aggressori sanno cosa stanno cercando, sarà molto concentrato su un determinato compito. In modo che potrebbe toccare una linea, rubare hardware, piantare un keylogger, ecc. Ma è sicuramente possibile rubare memoria su RAM - è un disastro da analizzare, ma se stai pianificando una rapina per rubare la RAM, probabilmente hai qualcuno con il know-how tecnico per trarne profitto.

La diapositiva menziona che si tratta di vettori di attacco fisici. Non conosco l'intero contesto dello slide deck, ma anche solo la rimozione della RAM da un sistema può portare in ginocchio un'applicazione o un sistema.

L'obiettivo della maggior parte degli attacchi, fisici o cibernetici, è quello di interrompere il servizio, rubare informazioni o ottenere accesso da backdoor per imbrogli a lungo termine (botnet, ecc.). Mentre teoricamente i dati possono essere rubati dalla RAM che è stata appena scollegata, penso che la minaccia più grande qui sia più sulla falsariga di un attacco denial of service.

Se un utente malintenzionato può ottenere l'accesso fisico a un server, il furto della RAM cruciale per il funzionamento di quel server potrebbe causare il fallimento del server. Se rubi tutti alla RAM, non solo rallenterà il sistema come menzionato nella tua domanda, piuttosto impedirà il funzionamento del sistema. Poi di nuovo, rubare solo parte della RAM in un sistema critico sarebbe più discreto, e se inosservato, gli operatori potrebbero avere difficoltà a identificare la causa principale del malfunzionamento del sistema (specialmente se il sistema è strongmente dipendente dalla RAM, come un -applicazione del database di memoria, ad esempio un DB TimesTen).

Il punto elenco stesso potrebbe, naturalmente, essere esteso a qualsiasi attacco fisico sull'hardware stesso, ma il furto della RAM è probabilmente il più discreto e più facile da estrarre dal vettore fisico per un utente malintenzionato che ha solo una breve finestra di opportunità per accedere all'hardware.

Solo per ripetere ciò che altri hanno detto, non solo puoi spegnere un server o un dispositivo rimuovendo tutta la sua ram, potresti rubare le chiavi di crittografia. Generalmente il processo sembra congelare la ram, rimuoverla e quindi posizionarla in una macchina diversa in cui può essere analizzata. Funziona perché mentre di solito quando ram perde potenza, tutti i dati vengono persi, ma quando il ram è congelato a temps molto bassi, gli elettroni e quindi i dati sono essenzialmente "bloccati" nella ram, dando a un attaccante il tempo sufficiente per rimuoverlo da potere e quindi ricollegarlo su un sistema dannoso.

È possibile rubare dati dalla RAM.

Nella condizione che 1) avete una connessione esterna ai dati della RAM e al bus degli indirizzi; 2) si avrà il modo che consente di inviare tutti i dati al bus dati della RAM (possibile solo avere un programma per farlo senza influire sul funzionamento del sistema); 3) il programma dovrebbe essere in esecuzione allo stesso livello del kernel;

In breve, devi avere un programma (o un virus o un buco di sicurezza) per poter rubare i dati dalla RAM.