Атаки по памяти — быстро развивающееся направление исследований, вызывающее интерес как в научной среде, так и среди практиков: криминалистов, специалистов ИБ и, конечно, хакеров. В ряде ситуаций эти атаки позволяют решить задачи, неразрешимые традиционными методами.
Историческая справка
Под атаками по памяти (RAM attacks) традиционно понимаются атаки, при которых противник ищет секретную информацию непосредственно в оперативной памяти работающего компьютера. С точки зрения сложившейся классификации они представляют собой подкласс атак по побочным каналам (side-channel attacks).
Последним посвящено значительное количество публикаций, однако атаки по памяти, несмотря на очевидность идеи, долгое время оставались в тени. Это обусловлено рядом исторических причин, с обсуждения которых мне и хотелось бы начать.
В первую очередь, следует отметить, что для проведения атаки по памяти требуется физический доступ к целевой машине. Это достаточно сильное требование к противнику, и очевидное противодейтвие таким атакам состоит в ограничении физического доступа. На первый взгляд оно выглядит необходимым и достаточным, поэтому долгое время справедливо полагалось, что при наличии у противника физического доступа к компьютеру что-либо скрывать уже поздно — все может быть считано, например, с жесткого диска. Снять диск, подмонтировать к доверенной системе и считать всю информацию значительно проще, чем строить сложные (в первую очередь, в инженерном плане) атаки по памяти.
Методы анализа собранных данных также ничем не отличались от тех, что применяются для анализа жесткого диска. Таким образом, в течение долгого времени атаки по памяти не представляли самостоятельного интереса ни для практикующих специалистов, ни для академического сообщества.
Изменение ситуации наметилось в тот момент, когда на рынке стали появляться решения, использующие стойкую криптографию. До начала XXI века появление таких средств сдерживалось рядом факторов, наиболее значимым из которых были ограничения на экспорт сильных криптоалгоритмов. Коммерческие продукты того времени использовали крайне слабые алгоритмы шифрования. Таким образом, даже встретившись с зашифрованным файлом, атакующий, при наличии достаточных вычислительных ресурсов, мог взломать защиту и получить доступ к нужной информации. Отмена экспортных ограничений со временем привела к тому, что стойкие алгоритмы оказались встроены в большинство коммерческих систем (даже если защита данных не являлась их основной функцией).
Обратной стороной этого, безусловно положительного, процесса стала значительно возросшая сложность задач, с которыми сталкиваются компьютерные криминалисты при сборе и анализе цифровых улик. Pаньше, обнаружив зашифрованный файл, они могли просто запустить перебор на достаточно мощном кластере и получить результат в течение нескольких дней (а зачастую файл открывался просто мгновенно в силу слабостей алгоритма или реализации). Теперь же, даже конфисковав сервер злоумышленника, они вполне могут обнаружить на нем раздел, целиком зашифрованный 128-битным ключом. Задача взлома такого ключа на данный момент неразрешима методами классического криптоанализа, и экспертам остается надеяться лишь на удачу: например, что в качестве пароля использовалась кличка любимой собаки.
Именно эти трудности и сформировали запрос на поиск каких-то новых возможностей по атакам на зашифрованные данные, выходящих за рамки классического криптоанализа. В этот момент вновь возник интерес к атакам по памяти. В самом деле, раз данные обрабатываются в памяти, значит, они там в какой-то момент присутствуют. В том числе и те самые ключи, которые невозможно подобрать, анализируя только зашифрованные данные на диске. Остается лишь получить доступ к памяти, найти ключи — и доступ к защищенным данным получен!
< ... >
