Metodi di attacchi di avvio a freddo in natura

8

Per quanto ne so, ci sono due metodi per eseguire attacchi di avvio a freddo:

  • Riavvia il sistema in un sistema operativo o BIOS alternativo con un ingombro di memoria minimo che esporta automaticamente la memoria su supporti permanenti.
  • Rimuovere fisicamente i moduli di memoria e metterli su una scheda madre o un analizzatore con RAM hotplug abilitata e leggere direttamente la memoria da essi.

Entrambi i metodi possono facoltativamente comportare il raffreddamento dei moduli di memoria per consentire ai contenuti della memoria di durare più a lungo. Tuttavia, ogni metodo ha i suoi lati negativi. Il primo metodo può essere problematico perché il sistema potrebbe non avviarsi se viene impostata una password BIOS e POST potrebbe sovrascrivere la memoria, specialmente se è ECC. Lo svantaggio del secondo metodo è che la rimozione fisica della memoria richiede più tempo e aumenta la possibilità che i dati vengano persi e che molti dispositivi possano avere una memoria saldata sulla scheda madre e inamovibile. Entrambe le tecniche possono avere problemi con la memoria DDR3 e DDR4 a causa della maggiore volatilità e della rimescolanza della memoria che è abilitata nei nuovi BIOS (modifica: apparentemente , la criptazione della memoria è totalmente inutile a causa dell'utilizzo di LFSR per la crittografia, che può essere interrotta con solo 50 byte di testo in chiaro noto, sebbene l'interlacciamento della memoria complichi le cose quando sono in uso molti DIMM.

Ho letto un documento che attacca coinvolgendo hotswapping su early moduli DDR3 sono pratici , con oltre il 90% dei bit recuperati, ma i moderni moduli DDR3 e DDR4 sono presumibilmente significativamente diversi nell'implementazione, il che probabilmente influirebbe sull'efficacia del cold boot in natura. Perché so che gli attacchi a freddo contro la memoria DDR e DDR2 sono piuttosto banali , non mi interessa tanto, anche se sarei comunque interessato a vedere esempi di usi effettivi degli attacchi cold boot contro di loro a prescindere, se non c'è nient'altro.

Quindi la mia domanda è, in diretta, forensics informatico criminale in natura, qual è la forma più comune di attacco da avvio a freddo usato oggi contro DRAM DDR3 e DDR4, e perché?

Modifica: un possibile vantaggio utile è questa presentazione archiviata . Il sommario:

BIOS swap on server PC. Memory acquisition using firewire, reboot or userspace tools is standard. What if your intel motherboard BIOS wipes ECC memory and live plugging PCIe fails?

The presentation describes an alternative way to initialise RAM using methods from the coreboot project. After initialisation the RAM can be dumped compressed over serial and a LPC-USB device.

Questo fa sembrare che rimuovere la memoria non abbia nemmeno incrociato le loro menti. Nel discorso, hanno detto che non era pratico scambiare i moduli DIMM, il raffreddamento dei moduli non sarebbe stato sufficiente, e tutti tranne gli analizzatori di memoria bus più avanzati sono troppo lenti per analizzare la memoria live, anche se funzionano a una velocità di 666 MHz . E, naturalmente, cancellare la memoria al POST, l'uso di ECC o una password del BIOS rende l'avvio in un sistema operativo o un bootloader alternativo per scaricare la memoria impossibile.

    
posta forest 05.04.2016 - 01:07
fonte

2 risposte

3

Per prima cosa voglio affrontare il problema DDR3 vs DDR4. Le differenze tra DDR3 e DDR4 sono principalmente la tensione e la velocità di clock. Ho cercato di vedere se ci sono ricerche sul DDR4 per l'avvio a freddo, e finora sembra che non ci siano documenti accademici sulla loro praticità. Mentre i laboratori forensi commerciali potrebbero eseguire attacchi di avvio a freddo su DDR4, è improbabile che pubblichino le loro tecniche in quanto è il loro vantaggio competitivo. Poi di nuovo le differenze tra 3 e 4 sono relativamente minori (non ci sono grandi cambiamenti in ciò che fa, piuttosto è come fa il suo lavoro). Potrebbe essere il caso che non ci siano differenze (in termini di avvio a freddo) tra DDR3 e 4.

Avvio a freddo DDR1 / 2 (nel 2013 non potevano entrare in DDR3) link

Avvio a freddo DDR3 (Intel scrambling) link

Avvio a freddo DDR2 & Differenze DDR3 (2015): la perdita di potenza di 10 secondi DDR3 mostra tassi di errore molto bassi durante il recupero. link

    
risposta data 24.04.2016 - 04:45
fonte
1

Anche se non ho informazioni su quali tecniche sono in uso in natura, questo documento accademico esegue esercizi di avvio a freddo su DRAM DDR4 collegato alle CPU Intel Skylake.

Ecco le parti più rilevanti di questa domanda:

  1. Gli attacchi di avvio a freddo sono ancora fattibili sia su DDR3 che DDR4 DRAM codificati. Mentre i nuovi scrambler implementati nei controller DDR4 di Intel forniscono una maggiore offuscazione dei dati, il documento mostra che questi possono ancora essere aggirati.

  2. Volatilità: i produttori di DRAM non possono ridurre in modo significativo il "volume" di condensatori anche nei moduli di memoria di nuova generazione senza influire sulla frequenza di aggiornamento (che è rimasta fissa su molte precedenti generazioni di DRAM). Per questo motivo, i moduli DRAM DDR3 e DDR4 mantengono ancora una parte significativa del loro contenuto anche quando sono raffreddati e trasferiti su un'altra macchina. Il documento riporta come è stato fatto per DDR4 DRAM.

risposta data 10.05.2017 - 00:22
fonte