Ho sentito che ci sono attacchi che possono ottenere le password dalla RAM quando sono attivate.
Se un server, CentOS 7.5 e LUKS sono abilitati, è bloccato tty1, che si trova su un hypervisor VMWare bloccato con una password, è accessibile alle agenzie governative funzionante / attivato, può le agenzie governative sbloccare il disco virtuale di questo server guidare e leggere i contenuti fuori di esso?
Assolutamente. LUKS (e altre utilità di crittografia del disco) forniscono solo la sicurezza dei dati in sicurezza. Cioè, l'unico modo per accedere ai dati grezzi di per sé quando il sistema viene spento è conoscendo la password di crittografia. Quando il sistema è acceso, tuttavia, esistono diversi modi per recuperare le chiavi di crittografia del disco. Questi non richiedono risorse a livello di governo da portare fuori:
Avvio a freddo - Un attacco di avvio a freddo implica l'arresto improvviso della macchina e il trasferimento dei chip di memoria in un'altra scheda madre, quindi la lettura dei contenuti. Questo funziona perché i dati in memoria persistono per un breve periodo dopo che l'alimentazione è stata interrotta (un periodo più lungo se sono raffreddati a una temperatura molto bassa). Le chiavi di crittografia, o almeno i dati che possono essere utilizzati per ricostruire le chiavi di crittografia, saranno presenti nella RAM. Questo attacco è più efficace per le vecchie memorie DDR2, ma è assolutamente possibile con i nuovi DDR3 e DDR4.
DMA : un attacco DMA (Direct Memory Access) è uno in cui un dispositivo viene collegato al computer che può diventare bus master . Ciò include le connessioni Firewire e Thunderbolt, così come le schede PCIe. Quando questi sono collegati, il sistema operativo spesso garantisce loro pieno accesso alla memoria, consentendo loro di leggere e scrivere direttamente in memoria senza l'ulteriore coinvolgimento della CPU. Mentre i nuovi sistemi con hardware IOMMU potrebbero non essere altrettanto vulnerabili a questo, è ancora una tecnica preferita delle forze dell'ordine.
JTAG - Esiste un protocollo di debug che può essere utilizzato per assumere il controllo completo di una CPU chiamata JTAG. Quando si collega una sonda JTAG a un'intestazione speciale sulla scheda madre, è possibile arrestare lo stato del processore, leggere e scrivere su registri e indirizzi di memoria, avviare IO e altro. Essenzialmente tutti i processori x86 supportano JTAG e non c'è modo di disabilitarli nel software. L'unica ragione per cui questa tecnica non viene utilizzata di più è perché quanto sopra è di solito più efficace e molto più economico, ma può ancora essere utilizzato come strumento di ultima istanza.
IPMI - Alcuni server avranno IPMI abilitato, che consente l'accesso remoto a chiunque abbia una password. Quando IPMI è attivo in un datacenter, la password è in genere nota al datacenter e l'applicazione della legge può banalmente richiedere l'accesso. A meno che non si stia utilizzando un server colocato su cui si ha il controllo fisico, IPMI è probabilmente supportato e in uso.
Leggi altre domande sui tag encryption virtualization luks