Vlákno názorů k článku Cold-Boot Attack ukradne hesla z paměti za dvě minuty, ochrana nefunguje od PanKachna - Jak je ve videu vidět, je nutné mít...
-
PanKachna (neregistrovaný)
Jak je ve videu vidět, je nutné mít heslo Windows v nějakém text editoru, Win10 se už nechovají jako Win7 a hesla neuchovávají v paměti nebo minimálně ne v nešifrované podobě, protože po dlouhých letech přestal fungovat Mimikatz.
Také jsem si všiml, že není zaheslovaný BIOS/EFI a má na výběr z čeho chce boot. Každý bezpečák nebo alespoň IT specialista toto zná a v institucích kde je potřeba bezpečnost tyto věci vypíná. Na konci videa je dokonce vidět jak borec zběsile mačká shift, a má tedy přepsaný sethc.exe, aby měl command line s právy sysadmin. WTF, proč tedy dělal ten cold boot? Mimochodem žádná organizace, která se stará o svá data nepoužívá nešifrovaný disk, takže ani tento útok není moc relevantní.
Tím chci říci, že tahle metoda je možná, ale lze řešit a v reálném světě není ani moc použitelná. Tím nechci říct, že by na opravu měli výrobci kašlat. -
Šifrovaný disk je samozřejmě základní podmínkou, právě proto chce útočník získat z paměti klíče a hesla, aby se k datům dostal. Pokud někde uživatel nechá uspaný počítač s bezpečně šifrovaným diskem, jsou klíče stále v paměti a je možné je takto vyextrahovat a pak si v klidu data z disku přečíst.
Zakázání bootu v Biosu nepomůže, v článku je to napsáno. Při flešování té paměti si může útočník v klidu boot z USB povolit nebo třeba nastavit jako výchozí.
-
Pan Kachna (neregistrovaný)
Tak to nesouhlasím, protože klíče se rozhodně nesmějí nacházet v RAM. K ukládání klíčů slouží TPM nebo OPAL. Ukažte mi firemní notebook bez tohoto vybavení. Je hodně vtipné, že když se chcete v videu podívat na typ Lenovo notebooku, tak zjistíte, že to někdo schválně rozmazal. Zřejmě to vědí také.
Sorry, to s bootem jsem netušil, že je možné. -
Filip JirsákStříbrný podporovatelJde o ty klíče, které aktuálně operační systém používá pro šifrování/rozšifrování dat. Ty musejí být za běhu systému v RAM, protože se neustále používají. Klíče pro šifrování disku by ještě mohl systém před uspáním z RAM vymazat, ale co klíče, které si drží aplikace – uživatelské šifrování disku (VeraCrypt), prohlížeče, SSH, VPN…
-
Filip JirsákStříbrný podporovatel
Jedině v případě, kdy jsou data na disku šifrovaná přímo TPM. Pak ale nefunkční TPM znamená ztrátu dat. Často se data na disku šifrují jedním klíčem, a ten klíč je na disku uložen zašifrován jinými klíči. Jeden klíč může být TPM, ale pak může být jiný klíč uložený třeba v AD a použije se pro rozšifrování v případě nefunkčního TPM.
