Cold Boot Attack rebootet: Forscher hebeln Verschlüsselung von Computern aus

Ein alter Angriff neu durchgeführt: Forschern ist es gelungen, den Schutzmechanismus gegen die zehn Jahre alte Cold-Boot-Attacke zu umgehen. Angreifbar sind eingeschaltete verschlüsselte Rechner.

Artikel veröffentlicht am , Moritz Tremmel
Mit Kälte kann man an Daten aus dem Arbeitsspeicher gelangen.
Mit Kälte kann man an Daten aus dem Arbeitsspeicher gelangen. (Bild: Bru-nO/CC0 1.0)

Computer aufschrauben, Kältespray auf den Arbeitsspeicher sprühen, Computer hart rebooten, ein minimales Betriebssystem starten und den kalten Arbeitsspeicher mit den Daten des vorherigen Betriebssystems auslesen: Der Schutzmechanismus gegen diese bereits 2008 vorgestellte Cold-Boot-Attacke kann umgangen werden, wie Forscher des Anti-Viren-Herstellers F-Secure herausgefunden haben. Damit können aus dem Arbeitsspeicher der Rechner Kryptoschlüssel und Passwörter ausgelesen und damit die Verschlüsselung ausgehebelt werden. Gefährdet sind verschlüsselte Geräte, die eingeschaltet sind.

Stellenmarkt
  1. Manager (w/m/d) Informationssicherheit
    EnBW Energie Baden-Württemberg AG, Stuttgart
  2. Specialist Network Deployment (m/w/d)
    Vodafone GmbH, Nürnberg, Unterföhring
Detailsuche

Die Cold-Boot-Attacke überlistet die Funktionsweise des Arbeitsspeichers, dem DRAM (dynamischen RAM). Er speichert Informationen nur, solange er mit Strom versorgt wird, danach vergisst er die Daten. Die Speicherbereiche beziehungsweise Kondensatoren werden mehrmals in der Sekunde mit neuem Strom aufgefrischt und neu geschrieben. Das macht den DRAM dynamisch. Unter normalen Bedingungen kann der Arbeitsspeicher seine Informationen mindestens 64 Millisekunden ohne erneute Stromzufuhr speichern. Unter extremen Bedingungen kann die Zeit allerdings deutlich abweichen: Bei -50°C kann der Arbeitsspeicherinhalt bis zu mehreren Minuten erhalten bleiben. Diesen Fakt nutzt die Cold-Boot-Attacke aus. In dem kurzen Zeitraum, in dem die Daten erhalten bleiben, werden sie mit einem anderen Betriebssystem ausgelesen.

Der Schutzmechanismus der PC-Hersteller verhindert den Angriff durch das Leeren des Arbeitsspeichers während des Boot-Prozesses. Allerdings geschieht dies nur, wenn vor dem Bootvorgang ein memory overwrite request (MOR) im nichtflüchtigen Speicher der Firmware gesetzt ist. Diese Information hinterlegt die Firmware bei jedem Bootvorgang, das Betriebssystem kann den MOR jedoch zurücksetzen, sofern es eine Löschung des Arbeitsspeichers für nicht notwendig erachtet, zum Beispiel, weil es alle relevanten Informationen aus dem Arbeitsspeicher gelöscht hat. An diesem Punkt setzen die Forscher von F-Secure an. Sie überschreiben den MOR, der Arbeitsspeicher wird beim nächsten Reboot nicht gelöscht. Damit kann eine klassische Cold-Boot-Attacke wieder durchgeführt werden.

Angreifer brauchen physischen Zugriff

Angegriffen werden können eingeschaltete verschlüsselte Geräte, auch im Bereitschaftsmodus (Suspend to RAM). Um eine Cold-Boot-Attacke durchführen zu können, brauchen die Angreifer physischen Zugriff auf das Gerät. Das Geräte oder Teile davon müssen beispielsweise mit Kältespray heruntergekühlt werden. Die Daten werden binnen Sekunden oder Minuten ausgelesen. Ganz trivial ist das nicht, aber technisch möglich und umsetzbar. Möglich ist auch, den heruntergekühlten Arbeitsspeicher auszubauen und auf einem anderen System auszulesen, sofern er nicht fest verbaut ist. Hierfür muss der Schutzmechanismus gegen die Cold-Boot-Attacke nicht umgangen werden.

Golem Akademie
  1. Scrum Product Owner: Vorbereitung auf den PSPO I (Scrum.org): virtueller Zwei-Tage-Workshop
    3.–4. März 2022, virtuell
  2. ITIL 4® Foundation: virtueller Zwei-Tage-Workshop
    16.–17. Dezember 2021, virtuell
Weitere IT-Trainings

Die Verschlüsselung ist angreifbar, da die Kryptoschlüssel im Arbeitsspeicher vorrätig gehalten werden, um die Daten von der Festplatte oder SSD entschlüsseln zu können. Alternativ können Kryptoschlüssel auch in speziellen Sicherheitschips oder dem Prozessor hinterlegt werden. Das findet bisher jedoch im PC-Bereich kaum Anwendung. Je nach Ausgestaltung sind auch hier Angriffe möglich. Wirklich geschützt sind Geräte erst mehrere Sekunden, nachdem sie heruntergefahren wurden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Silberfan 17. Sep 2018

Je nach Netzteil sind darin mehr oder weniger Kondensatoren verbaut ide noch die...

M.P. 17. Sep 2018

Im Artikel ging es um die Aushebelung des Schutzmechanismus für folgenden Angriff...

Aluz 17. Sep 2018

Ja danke, das hatte ich uebersehen.

M.P. 17. Sep 2018

Das war ja gerade meine Frage: Wenn das Auslesen von "normalem" Speicher über...

Aluz 17. Sep 2018

Wenn der DRAM controller in der CPU unter geht, dann hoert der RAM auch mit dem DRAM...



Aktuell auf der Startseite von Golem.de
Bitcoin und Co.
Kryptowährungen stürzen ab

Bitcoin, Ether und andere Kryptowährungen haben ein schlechtes Wochenende hinter sich. Bitcoin liegt fast 20 Prozent unter dem Wert der Vorwoche.

Bitcoin und Co.: Kryptowährungen stürzen ab
Artikel
  1. Virtueller Netzbetreiber: Lycamobile ist in Deutschland insolvent
    Virtueller Netzbetreiber
    Lycamobile ist in Deutschland insolvent

    Lycamobile im Netz von Vodafone ist pleite. Der Versuch, über eine Tochter in Irland keine Umsatzsteuer in Deutschland zu zahlen, ist gescheitert.

  2. Arbeiten bei SAP: Nur die Gassi-App geht grad nicht
    Arbeiten bei SAP
    Nur die Gassi-App geht grad nicht

    SAP bietet seinen Mitarbeitern einiges. Manchen mag das zu viel sein, aber die geringe Fluktuation spricht für das Softwareunternehmen.
    Von Elke Wittich

  3. VATM: Telekommunikationsverband will Bundesnetzagentur aufspalten
    VATM
    Telekommunikationsverband will Bundesnetzagentur aufspalten

    Die beiden großen Telekommunikationsverbände VATM und Breko sind hinsichtlich einer Spaltung der Bundesnetzagentur gespalten.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Bosch Professional Werkzeug und Zubehör • Corsair Virtuoso RGB Wireless Gaming-Headset 187,03€ • Noiseblocker NB-e-Loop X B14-P ARGB 24,90€ • ViewSonic VX2718-2KPC-MHD (WQHD, 165 Hz) 229€ • Alternate (u. a. Patriot Viper VPN100 2 TB SSD 191,90€) [Werbung]
    •  /