Nem valószínű, hogy személyi titkosítását ilyen módon megkerülik, de ez a biztonsági rés a vállalati kémkedés vagy a kormányok számára a gyanúsítottak adatainak elérésére szolgál, ha a gyanúsított nem hajlandó nyilvánosságra hozni a titkosítási kulcsot.
A teljes lemezes titkosítás működése
Akár a BitLocker titkosítására használja a Windows fájlrendszer titkosítását, az Android beépített titkosítási funkciója, hogy titkosítsa az okostelefonja tárolóját vagy bármilyen más teljes lemezes titkosítási megoldást, minden egyes titkosítási megoldás hasonlóan működik.
Az adatok a készülék tárolóhelyén titkosított, látszólag titkosított formában tárolódnak. A számítógép vagy okostelefon indításakor a rendszer felkéri a titkosítási jelszót. A készülék tárolja a titkosítási kulcsot a RAM-ban, és titkosítja és dekódolja az adatokat mindaddig, amíg az eszköz továbbra is bekapcsol.
Feltéve, hogy a képernyőn megjelenő jelszó meg van adva az eszközön, és a támadók nem találják azt, újra kell indítaniuk az eszközt, és bootolniuk kell egy másik eszközről (például USB flash meghajtóról) az adatok eléréséhez. Ha azonban a készülék ki van kapcsolva, a RAM tartalma nagyon gyorsan eltűnik. Amikor a RAM tartalma eltűnik, a titkosítási kulcs elvész, és a támadóknak titkosítási jelszavukra van szükségük az adatok titkosításához.
Így általában a titkosítást alkalmazzák, ezért az intelligens vállalatok titkosítják a laptopokat és okostelefonokat érzékeny adatokkal.
Data Remanence a RAM-ban
Amint azt korábban említettük, az adatok nagyon gyorsan eltűnnek a RAM-ból, miután a számítógép ki van kapcsolva, és a RAM elveszti az áramot. A támadó megpróbálhatja gyorsan újraindítani egy titkosított laptopot, bootolni egy USB-kulcsról, és futtatni egy eszközt, amely a RAM tartalmát másolja a titkosítási kulcs kivonatolására. Ez azonban általában nem működik. A RAM tartalma másodpercek alatt eltűnik, és a támadó szerencsétlen lesz.
A RAM memóriából való eltűnéséhez szükséges idő jelentősen meghosszabbítható. A kutatók sikeresen támadtak a Microsoft BitLocker titkosítását használó számítógépekkel szemben, ha a memóriakártyán levő lefejtett sűrített levegőt egy alacsony hőmérsékleten tartották. Nemrégiben a kutatók egy órára indították az Android-telefont a fagyasztóban, majd visszaállítva a titkosítási kulcsot a RAM-ból. (A boot betöltőt fel kell oldani a támadásra, de elméletileg lehetséges a telefon RAM-jának eltávolítása és elemzése.)
Miután a RAM tartalmát átmásolták vagy "dömpingelték" egy fájlra, automatikusan elemezhetők azok a titkosítási kulcs azonosítása, amely hozzáférést biztosít a titkosított fájlokhoz.
Ezt úgynevezett "hidegindítású támadásnak" nevezik, mert a számítógép fizikai hozzáférésére támaszkodik, hogy megragadja a számítógép RAM-jában maradt titkosítási kulcsokat.
Hogyan lehet megakadályozni a hidegindító támadásokat?
A legegyszerűbb módja annak, hogy megelőzzük a hidegindításos támadást annak biztosításával, hogy a titkosítási kulcs nincs a számítógép RAM-jában. Például, ha vállalati laptopja tele van érzékeny adatokkal, és aggódsz, hogy ellophatják, akkor kapcsolja ki, vagy hibernált üzemmódba helyezi, ha nem használja. Ez kiküszöböli a titkosítási kulcsot a számítógép RAM-ból - a rendszer újraindításakor újra be kell írni a jelszót. Ezzel szemben a számítógép alvó üzemmódba állításakor a titkosítási kulcs marad a számítógép RAM-ban. Ez megakadályozza a számítógépet a hidegindító támadások kockázatának.
A "TCG Platform Reset Attack Mitigációs specifikáció" iparági válasz erre az aggodalomra. Ez a specifikáció arra készteti az eszköz BIOS-jáját, hogy felülírja a memóriát bootolás közben. Az eszköz memóriamoduljai azonban eltávolíthatók a számítógépről, és elemezhetők egy másik számítógépen, megkerülve ezzel a biztonsági intézkedést. Jelenleg nem létezik bolondbiztos módja a támadás megakadályozására.
Tényleg kell aggódnia?
Geekseként érdekes az elméleti támadások vizsgálata, és hogyan lehetne megakadályozni őket. De légy őszinte: a legtöbb embernek nem kell aggódnia ezekkel a hidegcsizma-támadásokkal kapcsolatban. A védelemre érzékeny adatokkal rendelkező kormányok és vállalatok viselni fogják ezt a támadást, de az átlagembernek nem szabad aggódnia.
Ha valaki tényleg a titkosított fájljait akarja, akkor valószínűleg megpróbálja kiszabadítani a titkosítási kulcsot, és nem próbál meg hidegindító támadást, ami több szakértelmet igényel.
