Remanentnost podataka u RAM-u
Kao što smo već spomenuli, podaci nestaju iz RAM-a vrlo brzo nakon što se računar isključi i RAM izgubi napajanje. Napadač bi mogao pokušati brzo ponovo pokrenuti šifrirani laptop, pokrenuti ga s USB sticka i pokrenuti alat koji kopira sadržaj RAM-a kako bi izvukao ključ za šifriranje. Međutim, ovo obično ne bi funkcionisalo. Sadržaj RAM-a će nestati za nekoliko sekundi, a napadač neće imati sreće.
Vrijeme potrebno da podaci nestanu iz RAM-a može se značajno produžiti hlađenjem RAM-a. Istraživači su izveli uspješne napade na računare koristeći Microsoftovu BitLocker enkripciju tako što su prskali limenku sa naopako komprimiranim zrakom na RAM, dovodeći ga do niskih temperatura. Nedavno su istraživači stavili Android telefon u zamrzivač na sat vremena, a zatim su uspjeli povratiti ključ za šifriranje iz njegove RAM memorije nakon što su ga resetovali. (Boot loader mora biti otključan za ovaj napad, ali bi teoretski bilo moguće ukloniti RAM telefona i analizirati ga.)
Kada se sadržaj RAM memorije kopira, ili "izbacuje" u datoteku, može se automatski analizirati kako bi se identifikovao ključ za šifrovanje koji će odobriti pristup šifrovanim datotekama.
Ovo je poznato kao "napad hladnog pokretanja" jer se oslanja na fizički pristup računaru da bi se uhvatili ključevi za šifrovanje koji su preostali u RAM-u računara.
Kako spriječiti napade hladnog pokretanja
Najlakši način da spriječite napad hladnog pokretanja je osiguranje da vaš ključ za šifriranje nije u RAM-u vašeg računara. Na primjer, ako imate korporativni laptop pun osjetljivih podataka i zabrinuti ste da bi mogao biti ukraden, trebali biste ga isključiti ili staviti u stanje hibernacije kada ga ne koristite. Ovo uklanja ključ za šifriranje iz RAM-a računara – od vas će biti zatraženo da ponovo unesete pristupnu frazu kada ponovo pokrenete računar. Nasuprot tome, stavljanjem računara u stanje mirovanja ključ za šifriranje ostaje u RAM-u računara. Ovo dovodi vaš računar u opasnost od napada hladnog pokretanja.
“TCG Platform Reset Attack Mitigation Specification” je odgovor industrije na ovu zabrinutost. Ova specifikacija prisiljava BIOS uređaja da prepiše svoju memoriju tokom pokretanja. Međutim, memorijski moduli uređaja mogu se ukloniti sa računara i analizirati na drugom računaru, zaobilazeći ovu sigurnosnu meru. Trenutno ne postoji siguran način da se spriječi ovaj napad.
Da li zaista trebate brinuti?
Kao štreberci, zanimljivo je razmotriti teorijske napade i kako ih možemo spriječiti. Ali budimo iskreni: većina ljudi neće morati da brine o ovim napadima hladnog pokretanja. Vlade i korporacije sa osjetljivim podacima koje treba zaštititi će htjeti da imaju ovaj napad na umu, ali prosječan štreber ne bi trebao brinuti o tome.
Ako neko zaista želi vaše šifrovane fajlove, verovatno će pokušati da izvuče vaš ključ za šifrovanje od vas umesto da pokuša hladno pokretanje napada, što zahteva više stručnosti.
