从台式机或笔记本电脑中删除RAM或组件
这是一个屏幕截图:
我知道删除存储驱动器之类的东西会带来安全风险,但会删除RAM?它可以做的最大事情就是降低系统速度,但是那又有安全隐患吗?
#1 楼
在很多情况下,RAM用于存储敏感的非持久性信息。加密密钥将是一个常见示例。有时可以删除RAM并将其放置到另一个设备中以倾倒内容-通常是在液氮的帮助下。
有关更多信息,请参阅Wikipedia文章以了解冷启动攻击。
评论
如果有足够的存储空间,则引入此漏洞的原始文件显示,您可以使用廉价的压缩空气罐在不加电的情况下将闸板中的内容保持长达一分钟的时间(足够多的时间将木棍转移到另一台计算机上)。使用液氮将内容物保持数小时。
– BlueRaja-Danny Pflughoeft
16年5月19日在17:55
@ BlueRaja-DannyPflughoeft是的,这里有一个8分钟的视频(可能是NSFW)
–桅杆
16年5月19日在20:10
@RockPaperLizard评论中链接的问题有一个答案,说在室温下是毫秒到秒。
–卡斯卡贝尔
16年5月20日在4:01
那么,关于永远无法正确对齐RAM的整个事情,无论您提前如何仔细看,实际上是一项安全功能吗?我敢肯定,出于这个原因,我从未在不到一分钟的时间内成功地在计算机之间传输RAM。
– Todd Wilcox
16年5月20日在4:48
@Todd Ram和USB插头由相同的4维材料制成。这就是为什么您通常必须将它们旋转180到2至3倍才能适合它们。
– Lawtonfogle
16年5月20日在19:25
#2 楼
如果您登录某处(例如在浏览器或某些应用程序中),则您输入的密码会临时存储在RAM中,以便与正确的密码进行比较。大多数应用程序都假定RAM是安全的,并且不会清除所有内容,因此RAM内存中包含密码和对隐私敏感的数据可能(而且经常如此)。现在RAM据说会丢失数据。在断电时,它的运行速度足够慢且可预测,足以为攻击者提供时间窗口,使攻击者可以阅读所看内容。这称为冷启动攻击。
评论
那是易失性RAM ...大多数PC都专门使用它。不过,非易失性RAM不需要电源来保留数据,而且最近的速度提高使其在移动设备中具有吸引力,与Flash相对。这些模块的时间限制以年或数十年为单位。你知道的越多...
–内特
16年5月23日在19:57
#3 楼
如果没有更多的上下文,这还不是很清楚,但是结合上面的内容(“窃取设备”,而不是“ ...存储设备/计算机”),它们可能是指简单的盗窃。这是几年前RAM价格高昂时的一个问题-它非常便于移植。另外,DOS-by-the-theft也可能是一个问题。同一张幻灯片还提到“切割光纤主干”,它将阻止通信,而不是“闯入”光纤,这更可能意味着窃听。当然,如果在电缆断裂或设备失窃的情况下进行恢复的过程不如主线过程安全,则可能会导致数据丢失。
评论
是的-“安全”并不一定意味着信息安全-物理安全还适用于盗窃,故意破坏,暴力等。
–Random832
16年5月19日在16:56
过去,您可以在一个小的购物小虫中装上100,000美元的公羊,当一台完整的计算机装上门卫后,就容易多了。
–伊恩·林格罗斯(Ian Ringrose)
16年5月23日在14:11
#4 楼
删除RAM可能会迫使系统进行更多交换,因此,将存储在RAM中的敏感信息写入硬盘的可能性很小,但机会更大,而恢复则容易得多。评论
我无法相信这不是投票率最高的答案。当我试图想象通过删除RAM将给攻击者带来什么好处时,这是我想到的第一件事。
–内森·奥斯曼(Nathan Osman)
16年5月21日在3:16
老实说,令我惊讶的是,有这么多人认为从冻结的RAM中提取数据是一种可能的攻击方案。现在,我坚信可以做到这一点,但是我不确定除NSA之外的任何人是否有能力在计算机实验室之外进行此操作。
–托马斯
16年5月21日在4:35
这是我的直接想法,我担心在滚动浏览答案时没有看到它。很高兴有人说了。目前尚不清楚为什么在上述关于从活动系统中删除RAM的内容这么多???
–user2338816
16年5月21日在6:19
我认为这里有很多非常聪明的人,而聪明的人有时会首先想到更复杂的答案。冻结RAM以提取其内容不是一般计算机用户会想到的(甚至不知道有可能)。
–托马斯
16年5月21日在8:09
如果您要物理上更改硬件以使以后的第二次攻击更容易,则似乎必须有更简单的方法(例如窃听输入设备或其他接口)
–本·米尔伍德
16年5月22日在10:24
#5 楼
根据系统的工作,冻结RAM并转储以进行分析可能会有很多价值。RAM的形状多种多样-许多类型的服务器都具有特殊的RAM,其中包含奇偶校验位,因此在RAM之上并不能立即“忘记”记录在块中的最后一件事,实际上很多如果您真的很在意恢复该RAM上的内容,则更有可能-考虑到服务器RAM是为具有错误保护功能而相对于家庭用户RAM构建的,这更有可能。
如果攻击者知道他们在寻找什么,则攻击的类型将非常专注于特定任务。因此,这可能是窃听线路,窃取硬件,植入键盘记录程序等。但是绝对有可能在RAM上窃取内存-分析是一团糟,但是如果您计划抢劫以窃取RAM,则可能有人拥有从中获利的技术知识。
#6 楼
幻灯片提到这些是物理攻击媒介。我不知道滑盖的全部内容,但是即使只是从系统中删除RAM也会使应用程序或系统瘫痪。大多数攻击(无论是物理攻击还是网络攻击)的目标都是破坏服务,窃取信息或获得长期的恶作剧(僵尸网络等)后门访问权限。从理论上讲,可以从刚刚拔出的RAM中窃取数据,但我认为,更大的威胁来自拒绝服务攻击。
如果攻击者可以对服务器进行物理访问,则窃取对该服务器的运行至关重要的RAM可能会导致服务器故障。如果您窃取了所有RAM,则不仅会像您在问题中提到的那样降低系统的运行速度,而且还会彻底阻止系统运行。再说一次,仅盗用关键系统中的某些RAM会更加离散,如果不引起注意,操作员可能会很难识别系统故障的根本原因(尤其是如果系统严重依赖于RAM,例如-内存数据库应用程序,例如TimesTen DB)。
当然,要点本身可以扩展为对硬件本身的任何物理攻击,但是对于只有一个攻击者的攻击者来说,窃取RAM可能是最离散且最容易获得物理媒介的机会短暂访问硬件。
评论
为什么不拔掉机器电源呢? :P
–撤消
16年5月19日在16:31
@RahulBasu就像我说的那样,要点本身可以扩展为对硬件本身的任何物理攻击。但是,与关闭一些RAM相比,机器断电更为明显。
–LegendaryDude
16年5月19日在16:33
真?您认为可以从正在运行的设备中删除RAM并产生微妙的效果吗?内核似乎至少有合理的可能立即停止运行并使系统崩溃。当然,您可以使用更简单的方法来对您可以物理访问的盒子进行DoS ...
–本·米尔伍德
16年5月22日在10:36
@BenMillwood我不是说系统会运行,您推断这是(我不知道)。从正在运行的系统中拉出RAM显然会比在关闭系统时将其删除更为明显。
–LegendaryDude
16年5月23日在12:52
天哪,如果我想杀死一个我可以物理访问的系统,我会拉CPU。并留下手套。
–user82913
16年5月26日在14:18
#7 楼
只是重申一下其他人所说的,您不仅可以通过删除所有内存来关闭服务器或设备,还可以窃取加密密钥。该过程通常看起来像是将撞锤冷冻,将其取出,然后将其放入可以进行分析的另一台机器中。之所以起作用,是因为虽然通常在撞锤断电时会丢失所有数据,但是当撞锤被冻结到非常低的温度时,电子以及因此的数据实际上会“滞留”在撞锤中,从而使攻击者有足够的时间将其从撞锤中移除电源,然后在恶意系统上重新连接。评论
嘿@Andrew ...欢迎使用Stack Exchange ...在堆栈交换上'reiteration'并没有得到真正的赞赏,因为它实际上并没有对线程有任何帮助……下一次,请尝试发布更多原始内容。请享用!
–撤消
16年5月20日在5:57
#8 楼
可以从RAM窃取数据。在以下情况下:
1)您具有与RAM数据和地址总线的外部连接;
2)您将有办法允许将所有数据发送到RAM的数据总线(只能有一个程序在不影响系统运行的情况下这样做);
3)该程序应在相同的内核级别上运行;
总而言之,您必须具有一个程序(或病毒或安全漏洞),才能从RAM中窃取数据。
评论
可能的话,我认为,如果您对计算机具有物理访问权限,并且可以冻结并删除活动计算机上的RAM,那么将数据(而不只是RAM中的数据)上传到计算机上要容易得多。远程计算机,或仅将数据复制到另一媒体。
–凯文·费根(Kevin Fegan)
16年5月21日在21:53
@KevinFegan冻结RAM的原因是因为RAM中可能包含未加密的数据。直接窃取数据可能不会显示未加密的数据。
–LegendaryDude
16年5月23日在12:53
评论
看看这个答案security.stackexchange.com/questions/10643 / ...还是值得一读的帖子RAM删除后是否可以保留数据?
@SGR在系统仍在运行时将其删除数据没有丢失也就不足为奇了。
如果攻击者处于可以从运行的系统中删除RAM的位置,那么与他试图从RAM中读取剩余数据相比,您要担心的物理攻击向量要大得多。
如果有人卸下组件以使您无法再使用计算机,您是否不认为这是“攻击”?