Métodos de ataques de arranque en frío en la naturaleza

8

Hasta donde sé, hay dos métodos para realizar ataques de arranque en frío:

  • Reinicie el sistema en un sistema operativo alternativo o BIOS con una huella de memoria mínima que exporte automáticamente la memoria a medios persistentes.
  • Quite físicamente los módulos de memoria y colóquelos en una placa base o analizador con la función de conexión en caliente de RAM habilitada, y lea directamente la memoria de ellos.

Opcionalmente, ambos métodos pueden implicar enfriar los módulos de memoria para permitir que el contenido de la memoria persista por más tiempo. Sin embargo, cada método tiene sus propias desventajas. El primer método puede ser problemático porque el sistema puede no iniciarse si se configura una contraseña de BIOS y POST puede sobrescribir la memoria, especialmente si es ECC. La desventaja del segundo método es que la eliminación física de la memoria lleva más tiempo y aumenta la posibilidad de que se pierdan los datos, y de que muchos dispositivos tengan la memoria soldada en la placa base y no se puedan mover. Ambas técnicas pueden tener problemas con la memoria DDR3 y DDR4 debido a la mayor volatilidad y la mezcla de memoria que se habilita en las BIOS más nuevas (edición: aparentemente , la codificación de la memoria es totalmente inútil debido al uso de LFSR para el cifrado, que puede romperse con solo 50 bytes de texto sin formato conocido, aunque el intercalado de la memoria complica las cosas cuando se usan muchos módulos DIMM).

He leído un documento que ataca contra el hotswapping contra early módulos DDR3 son prácticos , con más del 90% de los bits recuperados, pero los módulos modernos DDR3 y DDR4 son supuestamente significativamente diferentes en la implementación, lo que probablemente afectaría la eficacia del arranque en frío en la naturaleza. Porque sé que los ataques de arranque en frío contra DDR heredados y memoria DDR2 son bastante trivial , no me importa mucho eso, aunque aún estaría interesado en ver ejemplos de usos reales de ataques de arranque en frío contra ellos, sin importar, si no hay nada más.

Por lo tanto, mi pregunta es, en vivo, los análisis forenses informáticos criminales en la naturaleza, ¿cuál es la forma más común de ataque de arranque en frío que se usa hoy contra DDR3 y DDR4 DRAM, y por qué?

Editar: Un posible candidato útil es esta presentación archivada . El resumen:

  

Intercambio de BIOS en la PC del servidor. Adquisición de memoria mediante firewire, reinicio o   Las herramientas de espacio de usuario son estándar. ¿Qué pasa si su placa base Intel BIOS limpia   ¿La memoria ECC y el PCIe de conexión en vivo fallan?

     

La presentación describe una forma alternativa de inicializar RAM.   utilizando métodos del proyecto coreboot. Después de la inicialización de la memoria RAM   se puede volcar comprimido en serie y en un dispositivo LPC-USB.

Esto hace que parezca que quitar la memoria ni siquiera se cruzó por sus mentes. En la charla, dijeron que no era práctico cambiar a los DIMM, ya que enfriar los módulos no sería suficiente, y todos, excepto los analizadores de memoria de bus más avanzados, son demasiado lentos para analizar la memoria en vivo, incluso si funcionan a una velocidad de hasta 666 MHz. . Y, por supuesto, borrar la memoria en la POST, el uso de ECC o una contraseña de BIOS hace que el arranque en un sistema operativo o cargador de arranque alternativo para volcar la memoria sea imposible.

    
pregunta forest 05.04.2016 - 01:07
fuente

2 respuestas

3

Primero quiero abordar el problema de DDR3 vs DDR4. Las diferencias entre DDR3 y DDR4 son en su mayoría voltaje y velocidad de reloj. He mirado para ver si hay alguna investigación sobre el arranque en frío DDR4, y hasta ahora parece que no hay documentos académicos sobre su practicidad. Si bien los laboratorios forenses comerciales pueden estar realizando ataques de arranque en frío en DDR4, no es probable que publiquen sus técnicas, ya que esa es su ventaja competitiva. Entonces, nuevamente, las diferencias entre 3 y 4 son relativamente menores (no hay cambios importantes en lo que hace, sino que es su función). Podría darse el caso de que no haya diferencia (en términos de arranque en frío) entre DDR3 y 4.

Arranque en frío DDR1 / 2 (en 2013 no pudieron entrar en DDR3) enlace

Arranque en frío DDR3 (codificación de Intel) enlace

Arranque en frío DDR2 & Diferencias DDR3 (2015): la pérdida de potencia de 10 segundos DDR3 muestra tasas de error muy bajas en la recuperación. enlace

    
respondido por el Daisetsu 24.04.2016 - 04:45
fuente
1

Si bien no tengo información sobre qué técnicas se utilizan en la naturaleza, este documento académico profundiza en los ataques de arranque en frío en la DRAM DDR4 conectada a las CPU Intel Skylake.

Aquí están las partes más relevantes de esta pregunta:

  1. Los ataques de arranque en frío aún son muy factibles tanto en DDR3 cifrado como en DRAM DDR4. Si bien los codificadores más nuevos implementados en los controladores DDR4 de Intel proporcionan más ofuscación de datos, el documento muestra que aún se pueden eludir.

  2. Volatilidad: los fabricantes de DRAM no pueden reducir significativamente el "volumen" de los condensadores incluso en los módulos de memoria de nueva generación sin afectar la frecuencia de actualización (que se ha mantenido fija durante muchas generaciones anteriores de DRAM). Por esta razón, los módulos DRAM DDR3 y DDR4 aún mantienen una cantidad significativa de su contenido, incluso cuando se enfrían y se transfieren a otra máquina. El documento informa cómo se hizo esto para DDR4 DRAM.

respondido por el Salessawi Ferede 10.05.2017 - 00:22
fuente

Lea otras preguntas en las etiquetas