Малко вероятно е вашето лично криптиране да бъде заобиколено по този начин, но тази уязвимост може да се използва за корпоративен шпионаж или от правителствата за достъп до данни на заподозрени, ако заподозреният откаже да разкрие криптиращия ключ.
Как работи пълнофункционалното шифроване
Независимо дали използвате BitLocker за шифроване на файловата система на Windows, вградената функция за шифроване на Android за шифроване на хранилището на вашия смартфон или множество други решения за криптиране на цял диск, всеки тип решение за шифроване работи по същия начин.
Данните се съхраняват в хранилището на устройството ви в шифрована, привидно кодирана форма. Когато заредите компютъра или смартфона си, ще бъдете подканени да въведете пропуск за шифроване. Устройството съхранява кода за шифроване в неговата RAM и го използва, за да шифрова и декриптира данните, докато устройството ви остане включено.
Ако приемем, че на устройството ви е зададена парола за заключващ екран и нападателите не могат да го познаят, ще трябва да рестартират устройството ви и да зареждат от друго устройство (например USB флаш устройство), за да имат достъп до данните ви. Когато обаче устройството ви се изключи, съдържанието на неговата RAM изчезва много бързо. Когато съдържанието на RAM изчезне, ключът за шифроване се загуби и атакуващите ще имат нужда от вашата кодировка за достъп, за да декриптират данните ви.
По този начин обикновено се смята, че криптирането работи и затова умни корпорации криптират лаптопи и смартфони с чувствителни данни за тях.
Възстановяване на данни в RAM
Както споменахме по-горе, данните изчезват от RAM много бързо, след като компютърът е изключен и RAM губи енергия. Нападателят може да опита бързо да рестартира кодиран лаптоп, да зареди багаж от USB памет и да стартира инструмент, който копира съдържанието на RAM, за да извлече кодиращия ключ. Обикновено това обаче няма да се получи. Съдържанието на RAM ще изчезне за секунди, а нападателят няма да има късмет.
Времето, необходимо за изчезването на данни от RAM, може значително да се удължи чрез охлаждане на RAM. Изследователите извършиха успешни атаки срещу компютри, използващи криптиране от Microsoft BitLocker, като пръскаха контейнер с обратна надолу сгъстен въздух в паметта на RAM и го приведоха при ниски температури. Наскоро изследователите поставиха един телефон с Android в фризера за един час и след това бяха в състояние да възстановят криптиращия ключ от неговата RAM, след като го възстановят. (Зареждащото устройство трябва да бъде отключено за тази атака, но би било теоретично възможно да се премахне RAM на телефона и да се анализира.)
След като съдържанието на RAM бъде копирано или "изхвърлено" във файл, те могат автоматично да бъдат анализирани, за да се идентифицира ключът за шифроване, който ще даде достъп до шифрованите файлове.
Това е известно като "атака срещу студено зареждане", защото разчита на физически достъп до компютъра, за да вземе графичните ключове, оставащи в оперативната памет на компютъра.
Как да се предпазим от студени ботуши
Най-лесният начин да предотвратите атака срещу студено зареждане е да се уверите, че ключът ви за шифроване не е в оперативната памет на компютъра. Например, ако имате корпоративен лаптоп, пълен с чувствителни данни и се притеснявате, че може да бъде откраднат, трябва да го изключите или да го включите в режим на хибернация, когато не го използвате. Това премахва ключа за шифроване от оперативната памет на компютъра - ще бъдете подканени да въведете отново пропуск, когато отново стартирате компютъра. За разлика от това, поставянето на компютъра в режим на заспиване оставя критичния ключ, останал в оперативната памет на компютъра. Това поставя компютъра ви в риск от атаки при студен ботуш.
"Спецификацията за смекчаване на атаките на платформата TCG" е индустриален отговор на тази загриженост. Тази спецификация принуждава BIOS на устройството да презапише паметта си по време на зареждане. Модулите с памет на устройството обаче могат да бъдат премахнати от компютъра и анализирани на друг компютър, като заобиколят тази мярка за сигурност. Понастоящем няма начин за предотвратяване на тази атака.
Наистина ли трябва да се притеснявате?
Като джуджета е интересно да се вземат под внимание теоретичните атаки и как можем да ги предотвратим. Но нека да бъдем честни: повечето хора няма да се притесняват от тези студени ботуши. Правителствата и корпорациите с чувствителни данни за защита ще искат да понесат тази атака, но средният джудже не трябва да се тревожи за това.
Ако някой наистина иска вашите криптирани файлове, те вероятно ще се опитат да получат вашия криптиран ключ от вас, а не да се опитат да нападнат студен ботуш, което изисква повече експертиза.
