web-dev-qa-db-fra.com

En quoi la «suppression de la RAM» constitue-t-elle un risque pour la sécurité?

Aujourd'hui, je regardais une vidéo sur "Ethical Hacking" où, tout en discutant des attaques matérielles, le narrateur a déclaré:

Suppression de RAM ou de composants d'un ordinateur de bureau ou d'un ordinateur portable

Voici une capture d'écran: BIZARRE!!!

Je comprends que la suppression de trucs comme les disques de stockage est un risque pour la sécurité mais supprimer la RAM? Le maximum qu'il puisse faire est de ralentir le système, mais sinon, est-ce un risque pour la sécurité?

79
undo

La RAM est utilisée pour stocker des informations sensibles non persistantes dans de nombreux cas. Les clés de cryptage seraient un exemple courant.

Il est parfois possible de retirer RAM et de le placer dans un autre appareil pour vider le contenu - souvent à l'aide d'azote liquide.

Pour plus d'informations, consultez le article Wikipedia pour Cold Boot Attack .

116
Peleus

Si vous vous connectez quelque part (par exemple dans un navigateur ou une application), le mot de passe que vous avez tapé est temporairement stocké dans RAM pour comparaison avec le mot de passe correct. La plupart des applications supposent que le RAM est sécurisé et n'efface pas tout, il peut donc arriver (et cela arrive souvent) que votre mémoire RAM contient des mots de passe et des données sensibles à la confidentialité).

Maintenant RAM est censé perdre des données en cas de perte de puissance, mais il le fait assez lentement et de manière prévisible pour fournir une fenêtre de temps où les attaquants peuvent lire le contenu en regardant. Cela s'appelle un attaque de démarrage à froid .

25
Luc

Sans plus de contexte, ce n'est pas complètement clair, mais combiné avec la ligne ci-dessus ("vol équipement", pas "... périphériques de stockage/ordinateurs"), il pourrait s'agir d'un simple vol. C'était un problème il y a quelques années quand les prix RAM étaient élevés - c'est très portable.

Alternativement, DOS-by-theft pourrait être un problème. La même diapositive fait référence à "Coupure un squelette de fibre optique" qui empêcherait la communication, et non à "pénétrer" la fibre qui serait plus susceptible d'entraîner une écoute indiscrète. Bien sûr, si vos procédures de récupération en cas de rupture de câble ou de vol d'équipement ne sont pas aussi sécurisées que vos processus principaux, cela pourrait vous exposer à une perte de données.

16
Chris H

La suppression de RAM peut forcer un système à échanger davantage, alors il y a peut-être une petite mais plus grande chance que les informations sensibles stockées dans RAM soient écrites sur un disque dur où il est beaucoup plus facile de récupérer.

13
Thomas

Selon ce que faisait le système, il pourrait être très utile de geler le RAM et de le vider pour l'analyser).

La RAM prend de nombreuses formes - de nombreux types de serveurs ont un RAM qui contient des bits de parité, donc en plus de RAM n'oublie pas immédiatement le dernière chose enregistrée dans un bloc, il est en fait beaucoup plus probable si vous vous souciez vraiment de récupérer ce qui était sur cette RAM - c'est beaucoup plus possible compte tenu du serveur RAM est conçu pour avoir une protection contre les erreurs par rapport à homeuser RAM.

Le type d'attaque, si les attaquants savent ce qu'ils recherchent, sera très concentré sur une certaine tâche. Cela peut donc être de toucher une ligne, de voler du matériel, de planter un enregistreur de frappe, etc. Mais il est certainement possible de voler de la mémoire sur la RAM - c'est un gâchis à analyser, mais si vous prévoyez un braquage pour voler de la RAM, vous avez probablement quelqu'un avec le savoir-faire technique pour en profiter.

4
Tommy

La diapositive mentionne qu'il s'agit de vecteurs d'attaque physique. Je ne connais pas le contexte complet du jeu de diapositives, mais même simplement supprimer RAM d'un système peut mettre une application ou un système à genoux.

Le but de la plupart des attaques, physiques ou cybernétiques, est de perturber le service, de voler des informations ou d'accéder à des portes dérobées pour des manigances à long terme (botnets, etc.). Bien que théoriquement, les données puissent être volées à RAM qui vient d'être débranché, je pense que la plus grande menace ici est plus proche d'une attaque par déni de service).

Si un attaquant peut accéder physiquement à un serveur, voler RAM crucial pour le fonctionnement de ce serveur pourrait entraîner la défaillance du serveur. Si vous volez tous le RAM cela ne fera pas que ralentir le système comme vous le mentionnez dans votre question, il empêchera carrément le système de fonctionner. Là encore, en volant seulement une partie de la RAM dans un système critique serait plus discret, et s'il n'était pas remarqué, les opérateurs pourraient avoir du mal à identifier la cause première du dysfonctionnement du système (en particulier si le système dépend fortement de la RAM, comme une application de base de données en mémoire, par exemple une base de données TimesTen).

La puce elle-même pourrait, bien sûr, être étendue à toute attaque physique sur le matériel lui-même, mais voler RAM est probablement le vecteur physique le plus discret et le plus facile à retirer pour un attaquant qui n'a que une brève fenêtre d'opportunité pour accéder au matériel.

2
LegendaryDude

Juste pour réitérer ce que les autres ont dit, non seulement vous pourriez arrêter un serveur ou un appareil en supprimant tout son ram, vous pourriez voler des clés cryptographiques. Le processus ressemble généralement à la congélation du bélier, à son retrait, puis à son placement dans une autre machine où il peut être analysé. Cela fonctionne parce que, généralement lorsque le bélier perd de la puissance, toutes les données sont perdues, mais lorsque le bélier est gelé à des températures très basses, les électrons et donc les données sont essentiellement `` coincés '' dans le bélier, ce qui donne à l'attaquant suffisamment de temps pour les supprimer de puis rebranchez-le sur un système malveillant.

0
Andrew Wright

Il est possible de voler des données de la RAM.

À condition que 1) vous ayez une connexion externe au bus de données et d'adresse RAM; 2) vous aurez le moyen de permettre l'envoi de toutes les données au bus de données du RAM (Uniquement possible d'avoir un programme pour le faire sans affecter le fonctionnement du système); 3) le programme devrait fonctionner au même niveau de noyau;

En bref, vous devez avoir un programme (ou virus ou trou de sécurité) pour pouvoir voler des données de la RAM.

0
Hello