Глобальная уязвимость: похищение данных с выключенного компьютера

На фоне сообщений о доступе АНБ к шифровальным кодам sim-карт и закладкам в жесткие диски мировых производителей, интересна другая технология – получение конфиденциальной информации с выключенного компьютера.

Такая технология кажется фантастикой, но для научного сообщества эта операция – не более чем рутинная работа, Иван Андриевский, к.э.н., Первый Вице-президент общероссийской общественной организации «Российский союз инженеров».

Большинство компьютерных специалистов уверено, что энергозависимая память, которая используется в качестве ОЗУ, теряет все свои данные в считанные секунды после отключения компьютера.

Но исследования показали, что эта точка зрения не совсем корректна. Данные из оперативной памяти выключенного компьютера пропадают не сразу, а постепенно. На скорость исчезновения влияет емкость схемы питания материнской платы, где остается небольшой заряд тока после выключения.

Научное-исследовательское сообщество экспериментальным путем установило, что деградацию информации из оперативной памяти компьютера можно замедлить понижением температуры. Например, при температуре в минус 50 градусов по Цельсию, данные распадаются со скоростью 1% за 10 минут. При температуре около минус 200 градусов по Цельсию, распад замедляется до сотен долей процентов за каждый прошедший час.

Уязвимость основана на том, что многое программное обеспечение имеет «привычку» сохранять в оперативной памяти в течение нескольких минут важные данные (ключи, пароли, логины) даже после того, как ей перестали пользоваться.

По этой причине, весьма велика вероятность ситуации, когда при штатном выключении компьютера в оперативной памяти может остаться много «ценной» информации для подготовленного специалиста.

Опасность этой уязвимости усугубляется тем, что многие корпоративные сети в коммерческих компаниях и государственных структурах основаны на старом, если не древнем оборудовании, а по оценкам исследователей данные сохраняются лучше на оборудовании с более высоким техпроцессом, из-за того что его энергоемкость выше, в отличие от энергоэффективных современных радиоэлектронных образцов техники и комплектующих на низком техпроцессе.

Тем самым, при желании злоумышленник может получить доступ к важной информации, с которой работал пользователь в течение сессии за своей учетной записью на персональном компьютере. Считывание данных может производиться как при физическом доступе к компьютеру, так и, в теории, при удаленном.

Физический доступ означает, что компьютер необходимо срочно вскрыть и охладить его память, как указано выше. Счет идет на минуты, поскольку уже через 1 минуту некоторые типы оперативной памяти могут потерять около половины своего содержимого, включая раскрытые ключи и пароли. Такая методика требует специальной подготовки и оборудования.

Если корпоративная сеть имеет выход в интернет, злоумышленник может «заразить» избранные компьютерные системы, например, персональный компьютер системного администратора или сервер, после чего внедрить в загрузочную область жесткого диска собственный
bootloader, чтобы в дальнейшем вынуть данные из оперативной памяти практически незаметно для пользователя.

Атака может происходить следующим образом: вредоносное программное обеспечение вызывает перезагрузку компьютера, после которой сначала грузится код злоумышленника, считывающий данные из оперативной памяти, пока они не были обнулены загрузкой операционной системы, после чего их можно сохранить на жестком диске компьютера жертвы и последующей передачи этих данных.

Другой вариант предусматривает передачу содержимого оперативной памяти через порт Ethernet, т.к. многие БИОСы материнских плат поддерживают загрузку ОС через локальную сеть или интернет. В таком случае злоумышленнику может потребоваться физический доступ к компьютеру, после чего с помощью стандартного гигабитного порта он может «выкачать» все данные из ОЗУ.

Методик по подобной краже данных достаточно много и уместить их в рамках одной статьи практически невозможно, если уделить место особенностям работы каждой. Но важно подчеркнуть меры противодействия подобным атакам.

Во-первых, как ни странно, необходимо использовать новые комплектующие или, точнее, энергоэффективную ОЗУ (low voltage RAM), ведь она быстрее разряжается и данные в ней деградируют с большей скоростью, по сравнению с старыми планками памяти.

Во-вторых, специальное программное обеспечение должно обнулять важную информацию после завершения своей работы, что, обычно, является стандартной практикой.

В-третьих, выключение компьютера должно заканчиваться обесточиванием всех его компонентов, чтобы цепи питания не запитывали планки оперативной памяти. Таким образом, можно повысить уровень безопасности компьютера от подобных атак.

Идёт загрузка...

Оставить комментарий
Ваше имя
Комментарий: *
Введите символы:: * Обновить