Per quanto ne so, ci sono due metodi per eseguire attacchi di avvio a freddo:
- Riavvia il sistema in un sistema operativo o BIOS alternativo con un ingombro di memoria minimo che esporta automaticamente la memoria su supporti permanenti.
- Rimuovere fisicamente i moduli di memoria e metterli su una scheda madre o un analizzatore con RAM hotplug abilitata e leggere direttamente la memoria da essi.
Entrambi i metodi possono facoltativamente comportare il raffreddamento dei moduli di memoria per consentire ai contenuti della memoria di durare più a lungo. Tuttavia, ogni metodo ha i suoi lati negativi. Il primo metodo può essere problematico perché il sistema potrebbe non avviarsi se viene impostata una password BIOS e POST potrebbe sovrascrivere la memoria, specialmente se è ECC. Lo svantaggio del secondo metodo è che la rimozione fisica della memoria richiede più tempo e aumenta la possibilità che i dati vengano persi e che molti dispositivi possano avere una memoria saldata sulla scheda madre e inamovibile. Entrambe le tecniche possono avere problemi con la memoria DDR3 e DDR4 a causa della maggiore volatilità e della rimescolanza della memoria che è abilitata nei nuovi BIOS (modifica: apparentemente , la criptazione della memoria è totalmente inutile a causa dell'utilizzo di LFSR per la crittografia, che può essere interrotta con solo 50 byte di testo in chiaro noto, sebbene l'interlacciamento della memoria complichi le cose quando sono in uso molti DIMM.
Ho letto un documento che attacca coinvolgendo hotswapping su early moduli DDR3 sono pratici , con oltre il 90% dei bit recuperati, ma i moderni moduli DDR3 e DDR4 sono presumibilmente significativamente diversi nell'implementazione, il che probabilmente influirebbe sull'efficacia del cold boot in natura. Perché so che gli attacchi a freddo contro la memoria DDR e DDR2 sono piuttosto banali , non mi interessa tanto, anche se sarei comunque interessato a vedere esempi di usi effettivi degli attacchi cold boot contro di loro a prescindere, se non c'è nient'altro.
Quindi la mia domanda è, in diretta, forensics informatico criminale in natura, qual è la forma più comune di attacco da avvio a freddo usato oggi contro DRAM DDR3 e DDR4, e perché?
Modifica: un possibile vantaggio utile è questa presentazione archiviata . Il sommario:
BIOS swap on server PC. Memory acquisition using firewire, reboot or userspace tools is standard. What if your intel motherboard BIOS wipes ECC memory and live plugging PCIe fails?
The presentation describes an alternative way to initialise RAM using methods from the coreboot project. After initialisation the RAM can be dumped compressed over serial and a LPC-USB device.
Questo fa sembrare che rimuovere la memoria non abbia nemmeno incrociato le loro menti. Nel discorso, hanno detto che non era pratico scambiare i moduli DIMM, il raffreddamento dei moduli non sarebbe stato sufficiente, e tutti tranne gli analizzatori di memoria bus più avanzati sono troppo lenti per analizzare la memoria live, anche se funzionano a una velocità di 666 MHz . E, naturalmente, cancellare la memoria al POST, l'uso di ECC o una password del BIOS rende l'avvio in un sistema operativo o un bootloader alternativo per scaricare la memoria impossibile.