Ngajagi inpormasi dina mémori | Blog resmi Kaspersky

Anyar-anyar ieu, pamekar manajer sandi KeePass nutup kerentanan anu ngamungkinkeun kecap konci master dicandak tina RAM, anu disimpen dina cleartext. Dina cara nu sarua, potongan informasi penting lianna, kayaning talatah panganyarna atawa data tina database parusahaan, bisa “dihapus” tina memori. Pamekar KeePass gancang-gancang nampilkeun solusi anu teu biasa pikeun masalah ieu, tapi dina kalolobaan aplikasi anu sanés, kecap akses masih disimpen dina RAM dina téks jelas, ngajantenkeun ieu mangrupikeun titik lemah sistem kaamanan anu umum sareng nyebar.

Serangan memori disada aheng tur kompléks, tapi maranéhna sabenerna rada gampang pikeun cybercriminals pikeun ngalakukeun serangan suksés – lamun pangurus gagal pikeun ngadopsi ukuran pelindung husus.

Kumaha batur bisa ngakses memori komputer

Wewengkon RAM anu dianggo ku aplikasi anu béda-béda sakitu legana diisolasi ku OS sareng hypervisor. Ku alatan éta, teu mungkin maca fragmen memori dimana aplikasi sejenna jalan. Nanging, prosés kalayan hak istimewa kernel (sistem dina Windows, akar on * nix) tiasa ngalakukeun ieu. Sareng aya langkung ti sababaraha cara pikeun ningkatkeun hak husus ka tingkat anu diperyogikeun, kalayan kerentanan dina OS atanapi supir alat anu paling umum.

Cara séjén pikeun asup kana RAM nyaéta ngaliwatan serangan DMA. Jenis serangan ieu dumasar kana kanyataan yén interfaces-speed tinggi (USB 4.0, Thunderbolt, Firewire, jeung sajabana) boga aksés memori langsung pikeun ngagancangkeun prosés I / O. Alat anu dirarancang khusus tiasa nyalahgunakeun fitur ieu pikeun maca mémori naon waé. Jeung ieu teu anceman hypothetical; aya kasus nyata (FinFireWire).

Tapi sanaos tanpa alat sareng kerentanan canggih, éta masih tiasa dilakukeun! Kusabab OS nyerat eusi RAM kana file, inpormasi di jerona tiasa diaksés ku ngan ukur maca file.

Aya sababaraha jinis file dina Windows:

• file swap samentara (pagefile.sys)
• Hibernasi nyimpen file (hiberfil.sys)
• Kacilakaan sareng debug memori dumps (memory.dmp, minidump). Sareng file sapertos kitu tiasa didamel sacara manual.

dina Linux, bursa Jeung hibernasi Anggo partisi disk khusus anu dibagi pikeun tujuan ieu.

Meunangkeun ka salah sahiji file ieu biasana merlukeun aksés fisik ka komputer, tapi teu kudu nyaho Kapercayaan aksés atawa malah ngahurungkeun mesin. Anjeun ngan saukur bisa nyabut hard drive jeung maca eta dina komputer sejen.

Kumaha carana nyegah serangan on memori

Kusabab aya seueur cara pikeun ngahapus mémori, anjeun kedah ngabéla diri anjeun dina sababaraha tingkat dina waktos anu sami. Sababaraha panyalindungan henteu ramah-pamaké, janten sateuacan nerapkeunana, pertimbangkeun skénario pamakean unggal komputer di perusahaan anjeun, sareng timbangkeun résikona.

Geura lampah

Hayu urang mimitian ku sababaraha tindakan anu saderhana, anu henteu disarankeun dina sadaya kasus.

• Ngalarapkeun prinsip hak husus sahenteuna. Sadaya pangguna kedah damel tanpa hak administrator. Malah pangurus sorangan kudu dibéré hak husus administrator ngan salila prosedur pangropéa lamun maranéhna bener diperlukeun.
• Nyebarkeun sistem panyalindungan dina sadaya komputer fisik sareng virtual. Perusahaan kedah gaduh sistem EDR. Mastikeun kawijakan kaamanan nyegah pagawé ngajalankeun utilitas sah tapi berpotensi ngabahayakeun nu bisa dipaké pikeun escalation hak husus sarta dump memori (Sysinternals, PowerShell, kaleuleuwihan / drivers leungit, jsb).
• Tetep OS sareng sadaya aplikasi utama panganyarna.
• Pastikeun komputer boot dina modeu UEFI, teu BIOS. Update firmware UEFI rutin dina sadaya komputer.
• Konpigurasikeun setélan UEFI aman. Nonaktipkeun Input / Output Memory Management Unit (IOMMU) pikeun nyegah serangan DMA. Sandi ngajagi UEFI sareng sebutkeun urutan boot OS anu leres pikeun ngirangan résiko sistem mimitian ti média jahat éksternal sareng setélan dirobih janten teu aman. Fitur Secure Boot sareng Trusted Boot ogé nyegah kode OS anu teu dipercaya tina jalan.

Léngkah ambigu

Sadaya tindakan anu didaptarkeun dina bagian ieu ningkatkeun pisan kaamanan sistem, tapi sakapeung mangaruhan négatif kinerja komputer, ramah-pamaké, sareng / atanapi kamampuan pamulihan bencana. Masing-masing meryogikeun pertimbangan anu ati-ati dina kontéks peran anu khusus dina perusahaan, sareng aplikasina ngabutuhkeun akurasi sareng léngkah-léngkah aplikasi kalayan tés anu jero.

• dumasar kana TPM 2.0 toko konci hardware Modul Platform Dipercanten nyayogikeun auténtikasi OS anu aman, ngagunakeun biometrik pikeun login akun, sareng ngajantenkeun ékstraksi konci sesah. TPM ogé greatly ngaronjatkeun panyalindungan disadiakeun ku enkripsi disk pinuh, sabab konci ogé disimpen dina modul. Poténsi pitfalls: kurangna TPM dina sababaraha komputer; OS teu cocog / kombinasi hardware; kasusah jeung manajemén konci terpusat (kusabab sistem béda jeung versi TPM).
• enkripsi disk pinuh. Aksi ieu sacara drastis ngirangan résiko kabocoran data, khususna tina laptop anu leungit atanapi dipaling; kituna eta disarankeun malah pikeun maranéhanana anu teu sieun teuing serangan memori. Palaksanaan asli Microsoft nyaéta BitLocker, tapi aya ogé solusi pihak katilu di luar. Énkripsi disk pinuh (FDE) ogé parantos janten bagian tina seueur sistem basis Linux (contona, dina versi Ubuntu 20 sareng di luhur), sareng biasana dumasar kana LUKS. Kombinasi TPM sareng FDE nawiskeun réliabilitas maksimal. Poténsi pitfalls: dina acara kacilakaan utama, aya nanaon cageur tina drive. Ku alatan éta, sistem cadangan anu fungsina leres kedah mutlak. Kadang aya panurunan nyata dina kinerja hard disk, utamana nalika booting komputer.
• Nonaktipkeun mode sare/sayaga. Upami anjeun nganonaktipkeun mode sare sareng ngan ukur ngantunkeun mode hibernasi, kaayaan dimana panyerang gaduh aksés ka komputer anu di-boot sareng sawaréh didekripsi anu rentan ka serangan DMA sareng metode anu sanés bakal jarang pisan. Anu kelemahan leyuran ieu ogé atra, sabab mode sare teh panggancangna tur pangmerenahna cara “pareuman” komputer sanggeus gawe atawa nalika ngarobah lokasi di kantor. Lamun mutuskeun turun jalur ieu, salawasna nerapkeun FDE; disebutkeun, pagawe bakal paling dipikaresep make hibernate jeung file hibernasi bakal ditinggalkeun defenseless ngalawan serangan.
• Nonaktipkeun mode hibernasi. Upami hibernasi dinonaktipkeun, gambar mémori teu tiasa disalin tina file dina komputer anu dipareuman. Pikeun komputer kritis, anjeun tiasa nganonaktipkeun mode hibernasi sareng mode sare; mesin ngan bisa dipareuman. Digabungkeun jeung FDE, TPM, sarta ukuran séjén, bakal aya saeutik kasempetan ditinggalkeun pikeun serangan memori; tapi kasulitan pikeun pamaké bakal gede pisan, jadi sia serius pamikiran ngeunaan kasus nu menerkeun pendekatan misalna.

Ucapkeun langsung

Upami anjeun mutuskeun nganonaktipkeun mode sare atanapi hibernasi dibenerkeun ku alesan kaamanan, pertimbangkeun sacara saksama pangguna mana anu kedah dilaksanakeun ku kawijakan ieu. Mustahil janten 100% pagawé; euweuh – jalma anu dianggo kalayan informasi kritis. Anjeun kedah ngajelaskeun ka aranjeunna yén kecap akses sareng data sanésna tiasa dipaling ku sababaraha cara, janten ukuran sapertos “nganggo antipirus” sareng “nyingkahan situs sapertos kitu” henteu cekap pikeun nyegah insiden kaamanan anu serius.

Ieu mangrupakeun ide nu sae pikeun nyebutkeun sababaraha kecap ngeunaan unggal ukuran kaamanan – ngajelaskeun tujuanana ka karyawan. Enkripsi disk pinuh nawiskeun panyalindungan ngalawan salinan data saderhana tina komputer anu leungit atanapi dipaling, kitu ogé tina serangan ku “pembantu jahat” – nyaéta, jalma asing anu gaduh aksés fisik kana mesin. Nganonaktipkeun sare sareng hibernasi nguatkeun panyalindungan ieu, janten tambahan lima menit pikeun ngaktipkeun sareng mareuman komputer bakal ngabantosan karyawan henteu janten kambing hitam upami kecap koncina dianggo dina serangan cyber.