Hoy estuve viendo un video sobre 'Ethical Hacking' donde, mientras hablaba sobre los ataques de hardware, el narrador dijo:
Eliminación de RAM o componentes de una computadora de escritorio o portátil
Aquí hay una captura de pantalla:
Entiendo que eliminar cosas como unidades de almacenamiento es un riesgo de seguridad, pero eliminar RAM. Lo máximo que puede hacer es ralentizar el sistema, pero ¿de qué otra manera es un riesgo de seguridad?
La RAM se utiliza para almacenar información confidencial no persistente en muchos casos. Las claves de cifrado serían un ejemplo común.
A veces es posible eliminar la RAM y colocarla en otro dispositivo para descargar el contenido, a menudo con la ayuda de nitrógeno líquido.
Para obtener más información, consulte el artículo de Wikipedia para Cold Boot Attack .
Si inicia sesión en algún lugar (por ejemplo, en un navegador o alguna aplicación), la contraseña que ingresó se almacena temporalmente en la RAM para compararla con la contraseña correcta. La mayoría de las aplicaciones asumen que la memoria RAM es segura y no borra todo, por lo que podría (y suele suceder) que su memoria RAM contenga contraseñas y datos confidenciales.
Ahora se dice que la RAM pierde datos tras la pérdida de potencia, pero lo hace lo suficientemente lenta y previsiblemente como para proporcionar una ventana de tiempo donde los atacantes pueden leer el contenido en busca. Esto se denomina ataque de arranque en frío .
Sin más contexto, no está completamente claro, pero si se combina con la línea anterior ("robo de equipo ", no "... dispositivos de almacenamiento / computadoras"), podrían estar refiriéndose a un simple robo. Esto fue un problema hace unos años cuando los precios de RAM eran altos, es muy portátil.
Alternativamente, DOS-by-robo podría ser un problema. La misma diapositiva se refiere a " Cortar una red troncal de fibra óptica" que evitaría la comunicación, y no "romper" la fibra, lo que sería más probable que signifique espionaje. Por supuesto, si sus procedimientos de recuperación en caso de rotura de un cable o robo de equipo no son tan seguros como sus procesos de línea principal, eso podría dejarlo expuesto a la pérdida de datos.
Dependiendo de lo que estaba haciendo el sistema, podría haber mucho valor en congelar la RAM y descargarla para analizarla.
La RAM toma muchas formas: muchos tipos de servidores tienen una RAM especial que tiene bits de paridad, por lo que en la parte superior de la RAM no se "olvida" inmediatamente lo último grabado en un bloque, en realidad es mucho más probable si realmente realmente se preocupó por recuperar lo que había en esa RAM - es mucho más posible dado que la RAM del servidor está diseñada para tener protección contra errores en comparación con la RAM del usuario doméstico.
El tipo de ataque, si los atacantes saben lo que están buscando, estará muy centrado en una tarea determinada. Así que eso podría ser tocar una línea, robar hardware, plantar un keylogger, etc. Pero definitivamente es posible robar la memoria en la memoria RAM. Es un desastre analizar, pero si estás planeando un atraco para robar la memoria RAM, probablemente tengas a alguien. con los conocimientos técnicos para sacar provecho de ella.
La diapositiva menciona que estos son vectores de ataque físico. No conozco el contexto completo de la plataforma de diapositivas, pero incluso solo eliminar la RAM de un sistema puede hacer que una aplicación o un sistema se ponga de rodillas.
El objetivo de la mayoría de los ataques, físicos o cibernéticos, es interrumpir el servicio, robar información o obtener acceso de puerta trasera a los chanchullos a largo plazo (botnets, etc.). Si bien, en teoría, los datos pueden ser robados de la memoria RAM que se acaba de desconectar, creo que la mayor amenaza aquí está más en la línea de un ataque de denegación de servicio.
Si un atacante puede obtener acceso físico a un servidor, el robo de RAM crucial para la operación de ese servidor podría provocar la falla del servidor. Si roba todos la memoria RAM, no solo ralentizará el sistema como usted menciona en su pregunta, sino que evitará que el sistema funcione. Por otra parte, robar solo parte de la RAM en un sistema crítico sería más discreto y, si no se notara, los operadores podrían tener dificultades para identificar la causa raíz del mal funcionamiento del sistema (especialmente si el sistema depende en gran medida de la RAM, como en (aplicación de base de datos de memoria, por ejemplo, una base de datos TimesTen).
El punto en sí podría, por supuesto, expandirse a cualquier ataque físico en el hardware en sí, pero el robo de RAM es probablemente el más discreto y más fácil de lograr para un atacante que solo tiene una breve ventana de oportunidad para acceder al hardware.
Solo para reiterar lo que otros han dicho, no solo podría cerrar un servidor o dispositivo eliminando toda su memoria RAM, sino que también podría robar claves criptográficas. El proceso generalmente se parece a congelar el ariete, retirarlo y luego colocarlo en una máquina diferente donde se pueda analizar. Esto funciona porque mientras que cuando el ariete pierde potencia, todos los datos se pierden, pero cuando el ariete se congela a temperaturas muy bajas, los electrones y, por lo tanto, los datos están esencialmente "atascados" en el ariete, dando al atacante el tiempo suficiente para eliminarlo Encienda y luego vuelva a conectarlo en un sistema malicioso.
Es posible robar datos de la RAM.
En la condición de que 1) tiene conexión externa al bus de datos y direcciones RAM; 2) tendrá la forma de permitir que todos los datos se envíen al bus de datos de la RAM (solo es posible tener un programa para hacerlo sin afectar al sistema en ejecución); 3) el programa debería estar ejecutándose en el mismo nivel de kernel;
En resumen, debe tener un programa (o virus o agujero de seguridad) para poder robar datos de la RAM.
Lea otras preguntas en las etiquetas physical physical-access hardware vulnerability