近期，幾位F-Secure安全研究人員發(fā)現(xiàn)了一種冷啟動(dòng)攻擊的新變種，可以竊取計(jì)算機(jī)上的密碼、密鑰或是一些加密信息，即便是在計(jì)算機(jī)斷電之后同樣可以破解，并且這種攻擊對(duì)多數(shù)現(xiàn)代計(jì)算機(jī)都適用。

RAM(隨機(jī)存取存儲(chǔ)器)以斷電時(shí)能夠短暫的保留數(shù)據(jù)而為人稱(chēng)道，在低溫條件下保存時(shí)間甚至可以更長(zhǎng)。而冷啟動(dòng)攻擊也正式依托于此，攻擊者可以通過(guò)這短暫的保留時(shí)間來(lái)竊取內(nèi)存中的信息。

[[244640]]

冷啟動(dòng)攻擊早期防治

冷啟動(dòng)攻擊最早發(fā)現(xiàn)于2008年，只不過(guò)當(dāng)時(shí)的攻擊還需要物理訪問(wèn)目標(biāo)計(jì)算機(jī)，因此攻擊的成本很高，往往用在一些高價(jià)值目標(biāo)而非普通用戶(hù)上。

所謂兵來(lái)將擋水來(lái)土掩，各大計(jì)算機(jī)廠商也針對(duì)這個(gè)問(wèn)題制定了一系列的防范措施。

AMD、惠普、IBM、英特爾和微軟幾大公司組建了可信計(jì)算組織(Trusted Computing Group)來(lái)解決這個(gè)問(wèn)題，組織制定了一項(xiàng)標(biāo)準(zhǔn)，在電源恢復(fù)時(shí)覆蓋RAM的內(nèi)容來(lái)保護(hù)計(jì)算機(jī)數(shù)據(jù)免受此類(lèi)攻擊。

標(biāo)準(zhǔn)名稱(chēng)為T(mén)CG重置攻擊緩解或內(nèi)存覆蓋請(qǐng)求控制(MORLock)。這樣即使攻擊者能夠非?？斓膭?chuàng)造出保存數(shù)據(jù)所需的低溫條件，在系統(tǒng)啟動(dòng)時(shí)內(nèi)存中的所有信息仍然會(huì)被清理。

MORLock成為歷史

F-Secure的安全研究人員Olle Segerdahl和Pasi Saarinen發(fā)現(xiàn)的新型攻擊方式，可以通過(guò)對(duì)存儲(chǔ)覆蓋指令重新編程來(lái)修改存儲(chǔ)芯片的動(dòng)作，因此可以在禁用該項(xiàng)功能后通過(guò)外接設(shè)備繼續(xù)啟動(dòng)并提取RAM中的數(shù)據(jù)。

只有完全關(guān)閉或休眠的計(jì)算機(jī)能夠免疫這種攻擊(因?yàn)榍袛嗔穗娫?。但是在睡眠模式下，計(jì)算機(jī)先前的狀態(tài)會(huì)保存在RAM中，并以最小功率運(yùn)行以保存數(shù)據(jù)，因此睡眠模式的計(jì)算機(jī)同樣無(wú)法幸免。

一套輸出兩分鐘

兩位研究人員通過(guò)視頻演示，完整的復(fù)現(xiàn)了新型冷啟動(dòng)攻擊：https://v.qq.com/x/page/u0707hisikf.html

最合適的上手時(shí)間是計(jì)算機(jī)關(guān)閉-重新啟動(dòng)期間，在此時(shí)凍結(jié)RAM芯片能夠有效的保存數(shù)據(jù)，利于攻擊者的一系列操作。

該技術(shù)能夠竊取計(jì)算機(jī)內(nèi)存中的數(shù)據(jù)，包括加密硬盤(pán)的密鑰。

至于BitLocker(驅(qū)動(dòng)器加密)，如果用戶(hù)將其設(shè)置為啟動(dòng)時(shí)使用PIN碼驗(yàn)證身份，那么入侵者只有一次攻擊的機(jī)會(huì)，因?yàn)樵谔崛AM數(shù)據(jù)時(shí)PIN碼也是必需的。也就是說(shuō)，PIN碼的存在等于是給數(shù)據(jù)多上了一道鎖。但是在沒(méi)有PIN驗(yàn)證的計(jì)算機(jī)上，這種攻擊可以做到一打一個(gè)準(zhǔn)。

在這兩位研究員看來(lái)，雖然實(shí)現(xiàn)攻擊需要一定的難度，但是他們相信肯定有一部分人也已經(jīng)掌握了這種攻擊方式，并且伺機(jī)而動(dòng)。當(dāng)然，對(duì)于普通用戶(hù)來(lái)說(shuō)，用冷啟動(dòng)攻擊有點(diǎn)殺雞用牛刀的意思，因此他們認(rèn)為，大型企業(yè)，例如銀行之類(lèi)的，可能是被重點(diǎn)關(guān)注的對(duì)象。

如何防范

專(zhuān)家對(duì)此建議是，在不用筆記本的時(shí)候最好將其完全關(guān)閉或休眠(一定要區(qū)分休眠和睡眠兩種模式)，同時(shí)再增加PIN碼驗(yàn)證，能夠最大程度的抵御攻擊。

為了證實(shí)攻擊真實(shí)存在，微軟方面也針對(duì)BitLocker發(fā)布了公告，告知用戶(hù)現(xiàn)在的BitLocker已無(wú)法抵御冷啟動(dòng)攻擊。

與之對(duì)應(yīng)的是，掌握另一大操作系統(tǒng)的蘋(píng)果沒(méi)有做出任何回應(yīng)，而是直接發(fā)布新一代的Mac(手動(dòng)滑稽)，因其CPU采用的獨(dú)特的加密芯片，這種攻擊基本沒(méi)法破防，所以請(qǐng)廣大Mac用戶(hù)放心食用。(這條不是廣告)