Me han informado sobre muchas respuestas y algunos comentarios de que un atacante puede leer la memoria mientras el sistema todavía se está ejecutando al conectar algún tipo de conexión directamente al bus ram.
¿Puede Linux detectar intrínsecamente a un atacante que se conecta al bus ram de esa manera?
Si no, ¿hay algún software de código abierto con esta capacidad?
Esto se envió de forma cruzada a electronics.stackexchange. La respuesta corta es que no es posible detectar todo este tipo de ataque de hardware hostil en el software.
Si tenía un dispositivo de sondeo en el bus que solicitaba activamente lecturas de memoria, sería posible detectarlo observando los retrasos en las lecturas de memoria. Tendría que ir específicamente a buscarlo configurando una lectura no almacenada con mediciones de tiempo antes y después, pero podría detectarla.
Sin embargo, si estuviera creando este tipo de sistema de ataque, simplemente tendría una memoria RAM de doble puerto conectada a las mismas líneas de escritura, almacenando una copia de todo el acceso a la memoria desde el inicio. Entonces podría leer de la copia sin interrumpir el tiempo de acceso a la memoria principal. No es trivial construir una cosa así, requiere una cuidadosa atención para evitar interrumpir las señales eléctricas en la RAM, pero es bastante factible contra la DRAM enchufada o soldada. No es factible contra la memoria RAM interna de un SoC, o una memoria RAM de chip apilada como la Raspberry Pi.
(Esto no debe confundirse con la "búsqueda de caché", que es una parte normal de un sistema multiprocesador)
Edite en respuesta al comentario: no es especialmente diferente en un sistema multiprocesador; en un sistema NUMA necesita una sonda de indagación por cada bus de memoria. Sin duda, es algo que requiere mucho esfuerzo y acceso físico, por lo que se utiliza principalmente para acceder a dispositivos que posee, como consolas de juegos y teléfonos móviles. No es algo que esperaría ver en un centro de datos; es probable que las máquinas objetivo de alto valor estén bloqueadas en casos de manipulación indebida para defenderse contra este tipo de cosas.
(¿Referencias? ¿Esta SE tiene una prohibición al estilo de Wikipedia sobre la investigación original?)