1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Perfect Privacy: Polizei…

Ram-Server

  1. Thema

Neues Thema Ansicht wechseln


  1. Ram-Server

    Autor: hansjoerg 05.09.16 - 16:41

    Hoffen wir mal daß es wirklich Ram-Server ohne Festplatten und userprotokollierung waren. Dann kann die Musik/kino- Industrie in die Röhre gucken und bekommt die Adressen der filesharing oder bittorrentnutzer nicht raus. :-)

  2. Re: Ram-Server

    Autor: Pomi 05.09.16 - 16:55

    Bei PP tummeln sich noch ganz andere Gestalten, die weitaus kriminellere Handlungen betrieben haben als Filesharing. Das wird wahrscheinlich sogar eher der Grund für die plötzliche Beschlagnahmung durch die Polizei sein.

  3. Re: Ram-Server

    Autor: Ext3h 05.09.16 - 17:13

    Da dürften sich vor allem auch die Betreiber, nicht nur die Nutzer, entsprechender Plattformen tummeln.

    Ich würde dann allerdings auch nicht davon ausgehen dass die Ermittler komplett blöde sind, sprich dass ein komplettes Speicherabbild des Servers gezogen wurde bevor dieser stromfrei gemacht wurde, ist nicht aus zu schließen.

    Sofern im BIOS des Memory-Test nicht explizit aktiviert war (der würde den RAM komplett überschreiben), ist es möglich nach einem Reset auf ein Rettungssystem zu booten und den RAM in aller Ruhe weg zu sichern. Die Korruption lässt sich damit auf ein paar MB beschränken. Im schlimmsten Fall ist die Page-Table verloren, dann wird es ein Puzzle-Spiel.

  4. Re: Ram-Server

    Autor: tingelchen 05.09.16 - 17:34

    Um bei einem RAM Server ein Image zu ziehen, muss man dies schon im laufenden Betrieb machen. Sprich ein Image funktioniert nur dann, wenn man im laufenden Betrieb Root-Rechte erhält, einen externen Speicher anhängt, den ins System einhängt und dann ein Abbild vom FS zieht. Was aber problematisch ist, da ein Abbild eines noch aktiven FS immer inkonsistent ist.

    Sobald die Kiste neu gestartet wird, ist der Inhalt des RAM weg. Theoretisch wäre es möglich Laderückstände des RAM's noch aus zu lesen. Das geht aber nicht im laufenden Betrieb, da jede Aktion einer Software zwangsweise in den RAM hinein schreibt und damit Teile des RAM Inhaltes überschreibt. Man würde also ebenfalls nur einen inkonsistenten RAM Inhalt bekommen.

    Sehen wir mal von den Sicherheitsvorkehrungen ab, welche Speicherinhalte durch das OS zufällig verteilt werden um Angriffe vor zu beugen.

    Was bleibt ist ein mögliches Image von dem aus das OS geladen wird. Wie z.B. eine Live CD. Wobei das wohl über Net Boot abgewickelt wird :)

  5. Re: Ram-Server

    Autor: stoneburner 05.09.16 - 17:43

    Ext3h schrieb:
    --------------------------------------------------------------------------------
    > Ich würde dann allerdings auch nicht davon ausgehen dass die Ermittler
    > komplett blöde sind, sprich dass ein komplettes Speicherabbild des Servers
    > gezogen wurde bevor dieser stromfrei gemacht wurde, ist nicht aus zu
    > schließen.

    wer solche server betreibt nutzt auch methoden um zu erkennen das der server manipuliert wird und überschreibt dann den crypto key der ramdisk und unmounted sie

    zu diesen zählen:

    erkennen das etwas ab oder angesteckt wurde, einfach per software
    gehäuse geöffnet (mikroschalter + (ir)lichtsensor)
    temperaturabfall (gegen coldboot angriffe)
    gerät wird geneigt oder bewegt (schutz gegen transport mit angeschlossener usv)

    wenn das alles richtig gemacht ist gibts keine möglichkeit da mehr an daten zu kommen

  6. Re: Ram-Server

    Autor: Sinnfrei 05.09.16 - 17:45

    Dürfte in Zukunft noch etwas schwieriger werden, sollte sich AMD's neue Secure Encrypted Virtualization durchsetzen, da bekommt jede VM ihren eigenen Schlüssel welcher in einem geschützten Bereich der CPU liegt, und das RAM wird komplett verschlüsselt, so dass man nicht mal vom Host-System an die Daten der VM kommt.

    Außer natürlich es gibt eine Hintertür für die US-Regierung um an den Schlüssel in der CPU zu kommen.

    __________________
    ...



    1 mal bearbeitet, zuletzt am 05.09.16 17:45 durch Sinnfrei.

  7. Re: Ram-Server

    Autor: opodeldox 05.09.16 - 17:47

    Nicht zu vergessen den Aluhut gegen Tractor Beams.

  8. Re: Ram-Server

    Autor: Wallbreaker 05.09.16 - 18:14

    Sinnfrei schrieb:
    --------------------------------------------------------------------------------
    > Dürfte in Zukunft noch etwas schwieriger werden, sollte sich AMD's neue
    > Secure Encrypted Virtualization durchsetzen, da bekommt jede VM ihren
    > eigenen Schlüssel welcher in einem geschützten Bereich der CPU liegt, und
    > das RAM wird komplett verschlüsselt, so dass man nicht mal vom Host-System
    > an die Daten der VM kommt.
    >
    > Außer natürlich es gibt eine Hintertür für die US-Regierung um an den
    > Schlüssel in der CPU zu kommen.

    Bei SME/SEV gibt es nicht den einen Schlüssel. Denn alles bzw. jedes Programm bekommt seinen eigenen Bereich zugeteilt, mit einem jeweils eigenen zufallsgenerierten Schlüssel. Die Bereiche sind von einander isoliert, und nur die Firmware der Zen-CPU kennt und verwaltet diese Schlüssel. Somit könnte ein Programm mit seinem zugeteilten Schlüssel, nie auf die RAM-Inhalte anderer Bereiche zugreifen, bzw. diese lesen da sie mit anderen Schlüsseln verschlüsselt werden.

    Und was die Hintertür angeht. Ich glaube nicht das sich AMD oder gar Intel so etwas leisten könnte. Da wird sicher keine manipulierte AES-Implementierung in Hardware existieren, was unmittelbar alles kompromittieren würde global. Allein die Tragweite dessen wäre gewaltig, wenn man bedenkt was alles darauf fußt. Und solche CPUs dann selbst zu nutzen, wäre ein Schuss ins Knie. Wenn man dann noch hinzu zieht, dass besonders AMD sehr viel bewegt hat inzwischen was Open-Source betrifft, und sich stets weiter öffnet, dann bleibt nicht mehr viel übrig was nicht einsehbar ist.

  9. Re: Ram-Server

    Autor: Apfelbrot 05.09.16 - 19:55

    > Sobald die Kiste neu gestartet wird, ist der Inhalt des RAM weg.
    > Theoretisch wäre es möglich Laderückstände des RAM's noch aus zu lesen. Das
    > geht aber nicht im laufenden Betrieb, da jede Aktion einer Software
    > zwangsweise in den RAM hinein schreibt und damit Teile des RAM Inhaltes
    > überschreibt. Man würde also ebenfalls nur einen inkonsistenten RAM Inhalt
    > bekommen.

    Die paar MB welche ein System dass den RAM Ausliest und auf einen Stick speichert an Verlust kann man durchaus verkraften.
    Selbst schon getestet, du kannst Unmengen an brauchbaren Daten auslesen.

    Wenn aber die Kiste den RAM bei jedem hochfahren leert, dann ists natürlich Essig.

  10. Re: Ram-Server

    Autor: Sinnfrei 06.09.16 - 10:30

    Ein Programm _kann_ möglicherweise einen eigenen Schlüssel bekommen, aber der Default-Mode ist Software-Transparent, d.h. weder das OS noch die Applikationen müssen das direkt unterstützen.

    __________________
    ...

  11. Re: Ram-Server

    Autor: tingelchen 07.09.16 - 17:52

    Was jedoch Standard bei DRAM ist :) Der Speicher brauch Refresh Zyklen damit der Speicherinhalt konsistent bleibt.

    > In a DRAM chip, each bit of memory data is stored as the presence or absence of an
    > electric charge on a small capacitor on the chip.[2][3] As time passes, the charges in
    > the memory cells leak away, so without being refreshed the stored data would
    > eventually be lost.
    >

    DRAM ist ein extrem flüchtiger Speicher. Ohne Refresh Zyklen ist die Wahrscheinlichkeit Speicherinhalt zu verlieren praktisch unumgänglich. Beim Verlust der Energiequelle geht der Speicherinhalt praktisch binnen ms verloren. Ob das MB bei einem Warmstart den Strom kappt ist wohl Modellabhängig. Kann aber auch mittels BIOS geregelt werden.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Netze BW GmbH, Karlsruhe
  2. RMG Messtechnik GmbH, Beindersheim (Raum Mannheim)
  3. Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz
  4. Technische Universität Berlin, Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 55,99€
  2. 32,99€
  3. 20,49€
  4. 59,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de