Hoe versleuteling kan worden overbrugd met een vriezer
Geeks beschouwen versleuteling vaak als een fool-proof tool om ervoor te zorgen dat gegevens geheim blijven. Maar of u nu de harde schijf van uw computer of de opslag van uw smartphone versleutelt, u zult verrast zijn te weten dat de codering bij koude temperaturen kan worden omzeild..
Het is onwaarschijnlijk dat uw persoonlijke codering op deze manier wordt omzeild, maar deze kwetsbaarheid kan worden gebruikt voor bedrijfsspionage of door overheden om toegang te krijgen tot de gegevens van verdachten als de verdachte weigert de coderingssleutel vrij te geven..
Hoe volledige-schijfversleuteling werkt
Of u nu BitLocker gebruikt om uw Windows-bestandssysteem te versleutelen, Android's ingebouwde coderingsfunctie om de opslag van uw smartphone te versleutelen of een willekeurig aantal andere full-disk encryptie-oplossingen, elk type coderingsoplossing werkt op dezelfde manier.
Gegevens worden opgeslagen in de opslag van uw apparaat in een gecodeerde, schijnbaar gecodeerde vorm. Wanneer u uw computer of smartphone opstart, wordt u gevraagd om de coderingswachtwoord. Uw apparaat slaat de coderingssleutel op in zijn RAM-geheugen en gebruikt deze om gegevens te versleutelen en decoderen voor zolang uw apparaat ingeschakeld blijft.
Ervan uitgaande dat u een wachtwoord voor het wachtwoord op uw apparaat hebt ingesteld en aanvallers kunnen het niet raden, moeten ze uw apparaat opnieuw opstarten en opstarten vanaf een ander apparaat (zoals een USB-stick) om toegang te krijgen tot uw gegevens. Wanneer uw apparaat echter uitschakelt, verdwijnt de inhoud van zijn RAM zeer snel. Wanneer de inhoud van de RAM verdwijnt, is de coderingssleutel verloren en hebben de aanvallers uw coderingswachtwoord nodig om uw gegevens te decoderen.
Dit is hoe versleuteling over het algemeen wordt verondersteld te werken, en dat is de reden waarom slimme bedrijven laptops en smartphones versleutelen met gevoelige gegevens erop.
Data Remanence in RAM
Zoals we hierboven vermeldden, verdwijnt data heel snel uit het RAM-geheugen nadat de computer is uitgeschakeld en het RAM-geheugen stroom verliest. Een aanvaller kan proberen een gecodeerde laptop snel opnieuw op te starten, op te starten vanaf een USB-stick en een hulpprogramma uitvoeren dat de inhoud van het RAM kopieert om de coderingssleutel te extraheren. Dit zou normaal echter niet werken. De inhoud van de RAM is binnen enkele seconden verdwenen en de aanvaller heeft pech.
De tijd die nodig is om gegevens uit het RAM-geheugen te laten verdwijnen, kan aanzienlijk worden verlengd door de RAM te koelen. Onderzoekers hebben succesvolle aanvallen op computers uitgevoerd met behulp van de BitLocker-codering van Microsoft door een blikje omgekeerde perslucht op de RAM te spuiten en op lage temperaturen te brengen. Onlangs plaatsten onderzoekers een Android-telefoon een uur in de vriezer en konden ze vervolgens de coderingssleutel herstellen uit het RAM-geheugen na het opnieuw instellen ervan. (De bootloader moet worden ontgrendeld voor deze aanval, maar het zou theoretisch mogelijk zijn om het RAM-geheugen van de telefoon te verwijderen en het te analyseren.)
Nadat de inhoud van het RAM-geheugen naar een bestand is gekopieerd of "gedumpt", kunnen ze automatisch worden geanalyseerd om de coderingssleutel te identificeren die toegang tot de gecodeerde bestanden zal verlenen.
Dit staat bekend als een 'cold-boot-aanval' omdat het afhankelijk is van fysieke toegang tot de computer om de resterende coderingssleutels in het RAM-geheugen van de computer te pakken..
Hoe Cold-Boot-aanvallen te voorkomen
De gemakkelijkste manier om een aanval tegen een koude aanval te voorkomen, is door ervoor te zorgen dat uw coderingssleutel niet in het RAM-geheugen van uw computer staat. Als u bijvoorbeeld een zakelijke laptop vol met gevoelige gegevens hebt en u bent bang dat deze wordt gestolen, moet u deze uitschakelen of in de slaapstand zetten als u deze niet gebruikt. Hiermee wordt de coderingssleutel uit het RAM-geheugen van de computer verwijderd. U wordt gevraagd uw wachtwoordzin opnieuw in te voeren wanneer u de computer opnieuw opstart. Als u de computer daarentegen in de slaapstand zet, blijft de coderingssleutel achter in het RAM-geheugen van de computer. Dit zet uw computer op het risico van aanvallen met koude start.
De "TCG Platform Reset Attack Mitigation Specification" is een reactie van de industrie op deze bezorgdheid. Deze specificatie dwingt het BIOS van een apparaat om zijn geheugen tijdens het opstarten te overschrijven. De geheugenmodules van een apparaat kunnen echter van de computer worden verwijderd en op een andere computer worden geanalyseerd, waarbij deze beveiligingsmaatregel wordt omzeild. Er is momenteel geen fool-proof manier om deze aanval te voorkomen.
Moet je je echt zorgen maken?
Als geeks is het interessant om te denken aan theoretische aanvallen en hoe we ze kunnen voorkomen. Maar laten we eerlijk zijn: de meeste mensen hoeven zich geen zorgen te maken over deze cold-boot-aanvallen. Regeringen en bedrijven met gevoelige gegevens om te beschermen, willen deze aanval in gedachten houden, maar de gemiddelde nerd moet zich hier geen zorgen over maken.
Als iemand echt je gecodeerde bestanden wil, zullen ze waarschijnlijk proberen je versleutelingscode uit je te krijgen in plaats van een aanval op een koude aanval uit te voeren, waarvoor meer expertise vereist is.
Image Credit: Frank Kovalcheck op Flickr, Alex Gorzen op Flickr, Blake Patterson op Flickr, XKCD