datenritter blog

Gegen den von mir "Kryoattacke" getauften "Cold-Boot"-Angriff gibt es Abhilfe. Das ist nichts neues, schon im ersten Beitrag zum Thema im Februar vor einem Jahr hatte ich erwähnt, dass diverse Methoden diskutiert werden.

Die beste Methode ist wohl die jetzt "Frozen Cache" genannte. Hardwareerweiterungen und Notschalter sind nicht notwendig, der Schlüssel und weitere sensible Daten werden vielmehr in einem Bereich des CPU-Caches abgelegt, dessen Inhalt man nicht in den Arbeitsspeicher zurückschreiben lässt.

Der heise-Artikel, der heute darüber berichtet klingt anfangs ein wenig, als sei dies eine Neuigkeit, neu ist aber lediglich, dass im Blog Frozen Cache ein paar unvollständige Assemblerbefehle stehen, mit denen dies auf Intel-CPUs möglich sein soll. Heise schreibt dann auch:

Neu ist diese als Cache-as-RAM bezeichnete Methode indes nicht, bereits LinuxBIOS/CoreBoot benutzen sie, um Speicherplatz zu haben, während der Speichercontroller noch initialisiert wird.

Den heftigen Performanceverlust, den Cache-as-RAM im Normalbetrieb des PCs mit sich bringt, halten die Hacker von Frozen Cache für akzeptabel, da man den Gefriercache nur aktivieren müsse, wenn z.B. der Rechner gesperrt wird. Logisch, denn wenn ein ungesperrter Rechner entwendet wird, ist die Verschlüsselung ohnehin nutzlos. Dennoch ist das Verfahren für Server, die ständig "gesperrt" sind und ständig Leistung bringen müssen, möglicherweise sehr problematisch.

Nebenbei: Heise verwendet das nette Wort "Kühlungsattacke".

Wieder mal durch hack a day habe ich etwas zur Cold-Boot-... äh.. Kryoattacke entdeckt, nämlich das folgende Video von boingboing tv:



Ab etwa 4:40 werden Gegenmaßnahmen diskutiert, inklusive einer neuen: Ein Temperatursensor könnte einen plötzlichen Temperaturabfall erkennen und den Speicherinhalt löschen. Außer vielleicht für Fallschirmspringer ist das eine nette Idee - aber nur wenn der Angreifer nichts davon weiß.

Zumindest gegen das Ausziehen der Speichermodule, welche noch den Festplattenschlüssel enthalten, gibt es bereits ab Werk Gegenmaßnahmen: Das Mainboard Asus G-SURF365 verfügt über einen "Diebstahlschutz" — der besteht darin, dass die Halterung der Module mit dem Mainboard verschraubt werden kann.

Es bereits eine erste Umsetzung zur Ausnutzung der Remanenz von DRAMs.

Bei hack a day wurde Wiesel McGrews Tool msramdmp vorgestellt, das auf Syslinux basiert. Auf einem USB-Stick installiert ergibt es ein praktisches Werkzeug zum Auslesen von... Diagnosedaten... aus dem Hauptspeicher eines PCs... "Kryoattacke - erstes(?) Tool frei verfügbar" ... »

Es funktioniert: Das Wort "Kryoattacke" erzielt mittlerweile zwei Treffer bei Google und einen bei Yahoo. Bei Google ist mein Blogeintrag der erste Treffer, die anderen beiden führen zu etbe. In den Kommentaren greift etbe den Begriff auf und fragt, ob er ins Englische übersetzt werden sollte. Warum das eine Frage ist, weiß ich nicht, ich kann nur vermuten, dass das K dem englischen Auge etwas Befremdliches gibt, was je nach Intention gut oder schlecht sein kann.

Meckator spricht denglisch von einer "Cold Boot Attacke"... "Kryoattacke - spreading the *word*" ... »

Aufgrund der hier erklärten und dann in einer heise-Meldung und auch z.B. im Standard und bei Wired erwähnten und bei Bruce Schneier und etbe kommentierten Angriffsmöglichkeit auf einen Computer mit verschlüsselter Festplatte, die u.U. ein Tiefkühlen der Speichermodule erfordert, kam mir die Idee, das als "Kryoattacke" zu bezeichnen, in Anlehnung an eine Kryptoanalyse bzw einen Kryptoangriff.

Das Wort "Kryoattacke" findet man zum Zeitpunkt dieses Eintrags noch nicht bei Google oder Yahoo. Ich habe es am 23.02.2008 auf einer Mailingliste verwendet, am 26.02.2008 wurde es von zwei verschiedenen Listenteilnehmern aufgegriffen.

Jetzt bin ich mal gespannt, ob sich "Kryoattacke" durchsetzt bzw. verbreitet. Wird wahrscheinlich nichts, wenn nach ein paar Tagen keiner mehr drüber redet. Dabei gibt es so viele spannende Vorschläge für Gegenmaßnahmen...
"Kryoattacke" vollständig lesen »