冷啟動攻擊來襲，Windows用戶準備好了嗎？

近期，幾位

F-Secure

安全研究人員發現了一種冷啟動攻擊的新變種，可以竊取計算機上的密碼、密鑰或是一些加密信息，即便是在計算機斷電之後同樣可以破解，並且這種攻擊對多數現代計算機都適用。

RAM（隨機存取存儲器）以斷電時能夠短暫的保留數據而為人稱道，在低溫條件下保存時間甚至可以更長。而冷啟動攻擊也正式依託於此，攻擊者可以通過這短暫的保留時間來竊取內存中的信息。

冷啟動攻擊早期防治

冷啟動攻擊最早發現於2008年，只不過當時的攻擊還需要物理訪問目標計算機，因此攻擊的成本很高，往往用在一些高價值目標而非普通用戶上。

所謂兵來將擋水來土掩，各大計算機廠商也針對這個問題制定了一系列的防範措施。

AMD、惠普、IBM、英特爾和微軟幾大公司組建了

可信計算組織（Trusted Computing Group）

標準名稱為TCG重置攻擊緩解或內存覆蓋請求控制（MORLock）。這樣即使攻擊者能夠非常快的創造出保存數據所需的低溫條件，在系統啟動時內存中的所有信息仍然會被清理。

MORLock成為歷史

F-Secure的安全研究人員Olle Segerdahl和Pasi Saarinen發現的新型攻擊方式，可以通過對存儲覆蓋指令重新編程來修改存儲晶元的動作，因此可以在禁用該項功能後通過外接設備繼續啟動並提取RAM中的數據。

只有完全關閉或休眠的計算機能夠免疫這種攻擊（因為切斷了電源）。但是在睡眠模式下，計算機先前的狀態會保存在RAM中，並以最小功率運行以保存數據，因此睡眠模式的計算機同樣無法倖免。

一套輸出兩分鐘

兩位研究人員通過視頻演示，完整的復現了新型冷啟動攻擊：

播放

最合適的上手時間是計算機關閉-重新啟動期間，在此時凍結RAM晶元能夠有效的保存數據，利於攻擊者的一系列操作。

該技術能夠竊取計算機內存中的數據，包括加密硬碟的密鑰。

至於BitLocker（驅動器加密），如果用戶將其設置為啟動時使用PIN碼驗證身份，那麼入侵者只有一次攻擊的機會，因為在提取RAM數據時PIN碼也是必需的。也就是說，PIN碼的存在等於是給數據多上了一道鎖。但是在沒有PIN驗證的計算機上，這種攻擊可以做到一打一個準。

在這兩位研究員看來，雖然實現攻擊需要一定的難度，但是他們相信肯定有一部分人也已經掌握了這種攻擊方式，並且伺機而動。當然，對於普通用戶來說，用冷啟動攻擊有點殺雞用牛刀的意思，因此他們認為，大型企業，例如銀行之類的，可能是被重點關注的對象。

如何防範

專家對此建議是，在不用筆記本的時候最好將其完全關閉或休眠（一定要區分休眠和睡眠兩種模式），同時再增加PIN碼驗證，能夠最大程度的抵禦攻擊。

為了證實攻擊真實存在，微軟方面也針對BitLocker發布了公告，告知用戶現在的BitLocker已無法抵禦冷啟動攻擊。

與之對應的是，掌握另一大操作系統的蘋果沒有做出任何回應，而是直接發布新一代的Mac（手動滑稽），因其CPU採用的獨特的加密晶元，這種攻擊基本沒法破防，所以請廣大Mac用戶放心食用。（這條不是廣告）

*參考來源：thehackernews，Karunesh91編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！