He escuchado que hay ataques que pueden eliminar las contraseñas de la RAM mientras está activado.
Si un servidor, CentOS 7.5 y LUKS habilitados, tty1 está bloqueado, que se encuentra en un hipervisor VMWare que está bloqueado con una contraseña, las agencias gubernamentales obtienen acceso mientras están funcionando / encendidos, ¿pueden las agencias gubernamentales desbloquear el hardware virtual de este servidor conducir y leer el contenido de ella?
Absolutamente. LUKS (y otras utilidades de cifrado de disco) solo proporcionan seguridad de datos en reposo. Es decir, la única forma de acceder a los datos sin procesar cuando se apaga el sistema es conocer la contraseña de cifrado. Sin embargo, cuando el sistema está encendido, hay varias formas de recuperar las claves de cifrado del disco. Estos no requieren recursos a nivel gubernamental para su implementación:
Arranque en frío : un ataque de arranque en frío implica apagar la máquina repentinamente y colocar los chips de memoria en otra placa base, luego leer su contenido. Esto funciona porque los datos en la memoria persisten por un período corto después de que se cortó la alimentación (un período más largo si se enfrían a una temperatura muy baja). Las claves de cifrado, o al menos los datos que se pueden usar para reconstruir las claves de cifrado, estarán presentes en la RAM. Este ataque es más efectivo para la memoria DDR2 anterior, pero es absolutamente posible con la DDR3 y la DDR4 más nuevas.
DMA : un ataque DMA (acceso directo a la memoria) es aquel en el que se conecta un dispositivo a la computadora que puede convertirse en bus master . Esto incluye las conexiones Firewire y Thunderbolt, así como las tarjetas PCIe. Cuando se conectan, el sistema operativo a menudo les otorga acceso total a la memoria, lo que les permite leer directamente y escribir en la memoria sin la participación adicional de la CPU. Si bien los sistemas más nuevos con hardware IOMMU pueden no ser tan vulnerables a esto, todavía es una técnica favorita de las autoridades policiales.
JTAG : existe un protocolo de depuración que se puede usar para tomar el control completo de una CPU llamada JTAG. Cuando conecta una sonda JTAG a un encabezado especial en la placa base, puede detener el estado del procesador, leer y escribir en registros y direcciones de memoria, iniciar IO y más. Esencialmente, todos los procesadores x86 son compatibles con JTAG, y no hay forma de desactivarlo en el software. La única razón por la que esta técnica no se usa más es porque las anteriores son generalmente más efectivas y mucho más baratas, pero aún pueden usarse como último recurso.
IPMI : algunos servidores tendrán IPMI habilitada, lo que permite el acceso remoto a cualquier persona con una contraseña. Cuando IPMI está activo en un centro de datos, el centro de datos suele conocer la contraseña y las autoridades policiales pueden exigir el acceso de forma trivial. A menos que esté utilizando un servidor colocado sobre el que tenga control físico, es probable que IPMI sea compatible y esté en uso.
Lea otras preguntas en las etiquetas encryption virtualization luks