Difesa software contro gli attacchi a freddo

4

Gli attacchi di avvio a freddo sono particolarmente cattivo . Su Android, una soluzione è quella di utilizzare un dispositivo Nexus con un bootloader bloccato per prevenire il ripristino personalizzato.

Su un PC, le tue garanzie sono ancora più limitate. L'utente malintenzionato che ha accesso a un laptop in esecuzione può gettarlo in un congelatore, quindi riavviare rapidamente nel BIOS per avviare su una chiavetta progettata per cercare lo spazio di memoria per la chiave. La protezione tramite password del BIOS è una buona idea, ma il tuo chilometraggio può variare.

Una protezione a cui pensavo stava monitorando la CPU o la temperatura della scheda madre nel software. Se la temperatura scende al di sotto di una certa soglia (es .: ambiente freddo rilevato), taglia la potenza con forza, interrompi la corrente il più rapidamente possibile, possibilmente con uno script di spegnimento che azzeri la RAM.

Questo approccio funzionerebbe almeno su base teorica? Ci sono progetti che lo fanno per prevenire attacchi di avvio a freddo?

    
posta Naftuli Kay 31.05.2015 - 21:03
fonte

3 risposte

2

Esistono diverse linee di difesa:
Gli ovvi sono quelli di impostare la password del BIOS , (come dici tu) utilizzare la crittografia completa del disco , non utilizzare la modalità sospensione, la modalità di blocco e soprattutto la sospensione - crittografarla in CMD (Windows 7):

fsutil behavior set encryptpagingfile 1

Conserva i tuoi file importanti in un contenitore crittografato . Un avvio a freddo di successo potrebbe entrare nel FDE ma non nel contenitore (correggimi se ho torto)
Assicurati di avere DDR3 RAM, ha la persistenza di memoria più bassa per questo attacco, i tipi più vecchi sono molto più lenti.
Se è possibile, abilitare il test automatico all'accensione ( POST ) nel BIOS, tenterà di azzerare la memoria.
La memoria ECC ripristinerà la memoria durante l'inizializzazione. Controlla se ce l'hai in CMD (W7):

wmic MEMORYCHIP get DataWidth,TotalWidth

Se il valore TotalWidth è maggiore del valore DataWidth, si dispone della memoria ECC.

Se si è fisicamente impediti di spegnere il PC, è possibile utilizzare il software spegnimento remoto dagli smartphone. Il modo ideale è un Android che lega l'avvio dello spegnimento ad un es. premendo su / giù il volume x volte. In questo modo puoi spegnere il PC con le mani in tasca.

Questo è un nugget dorato da un Blackhat carta. Sfortunatamente non ho il minimo indizio su come implementarlo.

BIOS BOOT: Remnants of encryption keys can be recovered with very high probability, unless your master disk keys are stored in the physical address range 0x7c00– 0x7bff.
A disk encryption filter driver loads very early in the boot process and can allocate this memory range for its exclusive use.
512 bytes is enough room for multiple disk encryption keys, or for an AES 256 key schedule.
Any attempt to boot to ANY alternative operating system or device will overwrite the keys stored in this address range.

In lo stesso articolo che discutono sulla tua domanda:
Per quanto riguarda una soluzione software (non l'ho ancora testata), posso vedere che HWiNFO ha una funzione di avviso, tuttavia non sono stato in grado di trovare RAM temp, ma non ci ho provato molto.

Infine(qualcosaconcuinonhoesperienza)puoi" permanere " il tuo stato hardware usando Epossidica per rendere difficile la rimozione dell'hardware e / o difficile l'introduzione di nuovo hardware.
Sidenote: per quelli di voi con un PC stazionario, uno chassis con viti e memoria DDR3 è pieno di ostacoli per impedire il raffreddamento del ram se si avvia lo spegnimento prima che l'attacker tenti di effettuare qualsiasi cosa.

    
risposta data 02.06.2015 - 14:31
fonte
1

La cosa di avviso tempature potrebbe funzionare, tuttavia è necessario farlo a livello di BIOS. L'attaccante può iniziare questo attacco mentre il computer si sta spegnendo. In questo caso, un software in esecuzione su sistema operativo non può fare il suo lavoro. Il BIOS può controllare la temperatura del sistema e se è molto basso può cancellare la memoria. Penso che potrebbe funzionare.

A proposito, ho trovato queste domande in SE. Le risposte e i commenti sono davvero interessanti, dovresti dare un'occhiata:

Come può l'impatto del cold boot attacchi ridotti al minimo

Pulisci la RAM all'arresto per prevenire l'attacco da avvio a freddo

Prevenire la prevenzione dell'avvio a freddo attacca gli attacchi sulle chiavi di crittografia crittografica

    
risposta data 01.06.2015 - 08:49
fonte
0

È possibile utilizzare la crittografia completa del disco per prevenire attacchi con avvio a freddo. Se l'hacker avrà tutte le tue unità, potrà cancellarle solo se non conoscesse la password.

    
risposta data 01.06.2015 - 07:37
fonte

Leggi altre domande sui tag