1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Cold Boot Attack rebootet: Forscher…

Zwei Fragen

  1. Thema

Neues Thema Ansicht wechseln


  1. Zwei Fragen

    Autor: M.P. 14.09.18 - 15:41

    Wenn die Forscher eine Möglichkeit gefunden haben, das MOR-Flag aus dem NV-RAM zu löschen.
    Wieso fehlt ihnen dann die Möglichkeit, direkt die relevanten Informationen aus dem Hauptspeicher zu ziehen, ohne den Rechner neu zu booten?

    Und wenn der Hauptspeicher besser gegen entsprechende Prozess-Grenzen überschreitende Zugriffe geschützt ist, als das NV-RAM - ist DAS freie Schreiben ins NVRAM dann nicht eher die Sicherheitslücke?



    1 mal bearbeitet, zuletzt am 14.09.18 15:41 durch M.P..

  2. Re: Zwei Fragen

    Autor: Anonymer Nutzer 14.09.18 - 17:24

    Und womit möchtest du das wieder absichern? etwa mit einem Jumper? merkst du was?

    Erde an M.P., bei der Durchführung eines Coldboot-Angriffes wir haben schon physischen Zugriff auf das System, es reicht dafür auch, dessen Speicher herunter gekühlt auszubauen und in einem z.B. extra dafür mitgebrachtem System ohne MOR-Flag auszulesen.

    Meine Fresse, es ist schon wieder Freitag - SCNR!

  3. Re: Zwei Fragen

    Autor: M.P. 17.09.18 - 07:20

    Um dieses Szenario geht es doch hier im Artikel aber gar nicht ...

  4. Re: Zwei Fragen

    Autor: Aluz 17.09.18 - 09:25

    M.P. schrieb:
    --------------------------------------------------------------------------------
    > Um dieses Szenario geht es doch hier im Artikel aber gar nicht ...

    Uhm, doch?

    >Möglich ist auch, den heruntergekühlten Arbeitsspeicher auszubauen und auf einem anderen System auszulesen, sofern er nicht fest verbaut ist.

  5. Re: Zwei Fragen

    Autor: M.P. 17.09.18 - 09:58

    Das ist ein Hinweis auf eine andere Methode - beim Thema des Artikels geht es ja gerade darum, dass man den Speicher nicht ausbauen muss ... zum Teil ist das auch gar nicht möglich...

    Aber es ist schon eine akademische Diskussion ...

  6. Re: Zwei Fragen

    Autor: Aluz 17.09.18 - 10:26

    M.P. schrieb:
    --------------------------------------------------------------------------------
    > Das ist ein Hinweis auf eine andere Methode - beim Thema des Artikels geht
    > es ja gerade darum, dass man den Speicher nicht ausbauen muss ... zum Teil
    > ist das auch gar nicht möglich...
    >
    > Aber es ist schon eine akademische Diskussion ...

    Das ist die Methode ohne neu zu booten. Wie sonst willst du an die Daten ran wenn der Rechner gesperrt ist. Der fuehrt gerade sein eigenes OS aus, den Schadcode kannst du nur durch den Reboot einfuehren. Am DRAM mit seinen ueber hundert Pins im laufenden Betrieb zu zapfen ist ein fast unmoeglichers Unterfangen ohne das System zu crashen.
    An einen ausgelagerten Speicherchip zu kommen weniger.



    1 mal bearbeitet, zuletzt am 17.09.18 10:28 durch Aluz.

  7. Re: Zwei Fragen

    Autor: M.P. 17.09.18 - 11:16

    Im Artikel ging es um die Aushebelung des Schutzmechanismus für folgenden Angriff:

    > Computer aufschrauben, Kältespray auf den Arbeitsspeicher sprühen, Computer hart rebooten, ein minimales Betriebssystem starten und den kalten Arbeitsspeicher mit den Daten des vorherigen Betriebssystems auslesen

    Dagegen wurde das Löschen des Speichers im UEFI/BIOS beim Booten eingeführt.
    Durch den im NVRAM hinterlegten Lösch-Request, der vor dem Starten des minimal-OS greift, kann der kalte Arbeitsspeicher mit dem minimal-Betriebssystem nicht mehr ausgelesen werden, da schon vorher durch UEFI/BIOS gelöscht....

    Mit einer Schad-Software im vorher laufenden Betriebssystem, die vor dem harten Reset den Lösch-Request aus dem NVRAM entfernt, kann das minimal-Betriebssystem ggfs. doch etwas Verwertbares im RAM finden ... jedenfalls genausoviel, wie ganz ohne das Arbeitsspeicher - Löschen beim Boot, welches als Schutzmaßnahme gegen die oben zitierte Lücke eingeführt wurde...



    1 mal bearbeitet, zuletzt am 17.09.18 11:19 durch M.P..

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Softwareprogrammierer / Inbetriebnehmer (m/w/d) für Roboter- und Automatisierungstechnik
    ENGEL Automatisierungstechnik Deutschland GmbH, Hagen
  2. Spezialist Stammdatenmanagement Betriebsmittel (m/w/d)
    DRÄXLMAIER Group, Vilsbiburg bei Landshut
  3. Scrum Master Mechatronische Fahrwerksysteme (m/w/d)
    Schaeffler Technologies AG & Co. KG, Herzogenaurach
  4. Wissenschaftlicher Mitarbeiter (m/w/d) für den Bereich Artificial Intelligence in Consumer Commerce
    Technische Hochschule Ingolstadt, Ingolstadt

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (u. a. Ryzen 5 5600X 358,03€)
  2. 599€
  3. (u. a. PS5 + HD Kamera für 549,99€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Telefon- und Internetanbieter: Was tun bei falschen Auftragsbestätigungen?
Telefon- und Internetanbieter
Was tun bei falschen Auftragsbestätigungen?

Bei Telefon- und Internetanschlüssen kommt es öfter vor, dass Verbraucher Auftragsbestätigungen bekommen, obwohl sie nichts bestellt haben.
Von Harald Büring


    Neues Apple TV 4K im Test: Teures Streaming-Gerät mit guter Fernbedienung
    Neues Apple TV 4K im Test
    Teures Streaming-Gerät mit guter Fernbedienung

    Beim neuen Apple TV 4K hat sich Apple eine ungewöhnliche Steuerung einfallen lassen, die aber im Alltag eher eine Spielerei ist.
    Ein Test von Ingo Pakalski

    1. Shareplay TVOS 15 soll gemeinsame Streaming-Erlebnisse schaffen
    2. Apple TV Farbkalibrierung per iPhone schneidet schlecht ab
    3. Sofasuche beendet Airtag-Hülle für Apple-TV-Fernbedienung

    Software-Projekte: Meine Erfahrungen mit einer externen Entwicklerfirma
    Software-Projekte
    Meine Erfahrungen mit einer externen Entwicklerfirma

    Ich versprach mir Hilfe für meine App-Entwicklung. Die externe Entwicklerfirma lieferte aber vor allem Fehler und Ausreden. Was ich daraus gelernt habe.
    Von Rajiv Prabhakar

    1. Feature-Branches Apple versteckt neue iOS-Funktionen vor seinen eigenen Leuten
    2. Entwicklungscommunity Finanzinvestor kauft Stack Overflow für 1,8 Milliarden
    3. Demoszene Von gecrackten Spielen zum Welterbe-Brauchtum