Hallo,

Ich würde mein Ubuntu gerne so einrichten, dass es den Arbeitsspeicher vor dem Herunterfahren überschreibt, damit es gegen "die einfache Variante" einer Kaltstartattacke ("Cold Boot Attack") geschützt ist. So macht es, glaube ich, auch "Ubuntu Privacy Remix" (http://wiki.ubuntuusers.de/Ubuntu_Privacy_Remix).

Kennt sich jemand damit aus?

Ich habe hier (http://ubuntujunkie.tumblr.com/post/1392503683/sicher-loschen-ram-dateien-swap-und-freien) etwas über "sdmem" gelesen. Muss ich dafür selbst einen Daemon schreiben? Gibt es da noch andere Programme oder Möglichkeiten?

Cold Boot ist da wörtlich zu verstehen, die RAM-Bausteine sollten dafür schon in flüssigem Stickstoff liegen. (Ich glaube bei Zimmertemperatur muss ein Rambaustein alle 4 Sekunden aufgefrischt werden)

Außerdem muss der Angreifer Zugriff auf dein System haben und dein System innerhalb des refresh überhaupt zum Bootvorgang kommen. Das erscheint mir reichlich unrealistisch.

Nein das ganze geht auch bei Zimmertemperatur noch nach 10 Minuten, hängt aber auch sehr vom jeweiligen Speicher ab.

@Aaron Pierce: Schau dir doch mal an, wie die das bei Ubuntu Privacy Remix gelöst haben, das sollte sich doch dann 1:1 übernehmen lassen.

stfischr schrieb:

Nein das ganze geht auch bei Zimmertemperatur noch nach 10 Minuten,

Das würd ich gern sehen.

hängt aber auch sehr vom jeweiligen Speicher ab.

Das kommt noch dazu

http://www.youtube.com/watch?v=JDaicPIgn9U&feature=player_embedded

Dieses Video (Forscher aus Princeton, 2008) zeigt sehr schön, dass der RAM mit einfachsten Mitteln gefrostet werden kann und dann nach 10 Minuten noch sehr, sehr gut auslesbar ist. Natürlich funktioniert dieses Angriffsszenario nur bei laufendem Rechner gut. Mein Frage bezog sich auf Schutz vor einem Angriffsszenario, bei dem der Rechner erst heruntergefahren wird. Dieses Szenario ist wesentlich unrealistischer. Aber über den Sinn von Sicherheitsmaßnahmen lässt sich ja streiten.

Auf jeden Fall habe ich "sdmem" getestet und selbst das einfache Überschreiben des Arbeitsspeichers dauert mir zu lange, um es jedes Mal beim Herunterfahren zu starten. Aber gut zu wissen, dass man das in Situationen, in denen man vor dem Herunterfahren ganz sicher gehen möchte, ganz leicht anwenden kann.

"secure-delete" enthält übrigens auch den Befehl "sfill", um den freien Festplattenspeicher zu überschreiben. Das erscheint mir einfacher als die Tips, die ich hier im Forum und über Google gefunden habe, die alle erklärten, man solle erst irgendeine riesige Datei erzeugen und die dann manuell wieder löschen. Das nur am Rande.

Aaron Pierce schrieb:

Dieses Video (Forscher aus Princeton, 2008) zeigt sehr schön, dass der RAM mit einfachsten Mitteln gefrostet werden kann und dann nach 10 Minuten noch sehr, sehr gut auslesbar ist.

Nach 2 Minuten OHNE Frosten. Und auch bei einer vergleichsweise alten Maschine mit altem RAM und anderen Refreshzeiten. Außerdem bei einem bekannten Muster mit bekannter Speicheradresse. Bei einem unbekannten Muster, das du im kompletten RAM suchen musst, verflüchtigt sich der Inhalt, bevor Du auch nur weisst, was du suchst. Nebenbei würde ich als gemeiner Angreifer den flüssigen Stickstoff langsam auf deine Oberschenkel tropfen lassen, um dich dazu zu bewegen, mir Passwörter zu verraten, statt dein RAM darin zu baden.

Mein Frage bezog sich auf Schutz vor einem Angriffsszenario, bei dem der Rechner erst heruntergefahren wird. Dieses Szenario ist wesentlich unrealistischer.

Was? Das dein rechner aus ist, wenn er dir entwendet wird? Das kannst Du selbst sicherstellen

Aber über den Sinn von Sicherheitsmaßnahmen lässt sich ja streiten. Auf jeden Fall habe ich "sdmem" getestet und selbst das einfache Überschreiben des Arbeitsspeichers dauert mir zu lange, um es jedes Mal beim Herunterfahren zu starten.

Sicherheit ist kein Zustand sondern eine Abwägung. Das steht bei jeder Maßnahme fest.

Ich meinte, dass es wesentlich unrealistischer ist, dass mein Rechner, nachdem er grade vorher heruntergefahren wurde, in fremde Hände gerät, die dann sofort eine Kaltstartattacke durchführen, als dass er im laufenden (aber gesperrten) Zustand in fremde Hände fällt, die dann beliebig viel Zeit haben eine Kaltstartattacke vorzubereiten. Herunterfahren und 2 Minuten warten führen somit schon zu großer Sicherheit.

Ich würde bei entsprechender Hardware und bei Inkaufnahme eines Einrichtungsaufwands von geschätzten 2 Std. + Umgewöhnungszeit eher zu TRESOR raten (LINK: http://events.ccc.de/congress/2011/Fahrplan/events/4869.en.html)

Kurzinfo:

• Schlüssel gelangt nie in den RAM (stattdessen werden Debug-Register der CPU genutzt)

• Wird z.b. nach Standbye der falsche Key eingegeben, stürzt das System sofort ab, alle nichtgesicherten Daten sind dann weg

redknight schrieb:

Bei einem unbekannten Muster, das du im kompletten RAM suchen musst, verflüchtigt sich der Inhalt, bevor Du auch nur weisst, was du suchst.

Deshalb wird ja auch ein Image vom Ram gezogen.

Aaron Pierce schrieb:

Auf jeden Fall habe ich "sdmem" getestet und selbst das einfache Überschreiben des Arbeitsspeichers dauert mir zu lange, um es jedes Mal beim Herunterfahren zu starten. Aber gut zu wissen, dass man das in Situationen, in denen man vor dem Herunterfahren ganz sicher gehen möchte, ganz leicht anwenden kann.

Seltsam, was macht das Tool denn genau? mit dd kann ich mit über 1GB/s in den Ram schreiben, macht 4 Sekunden bei 4GB. Theoretisch müsste man ja nur wissen, wo der Schlüssel liegt und nur die paar Byte überschreiben. Eigentlich eine Sache für die LUKS-Entwickler.

@ T_Schroeder Vielen Dank für den Link! TRESOR hört sich großartig an. Der Einrichtungsaufwand ist mir jetzt grade zu groß, aber ich werde TRESOR für die Zukunft im HInterkopf behalten.

@ stfischr http://manpages.ubuntu.com/manpages/natty/man1/sdmem.1.html Ich habe sdmem mit der Option -ll laufen lassen (also nur ein Überschreibdurchgang mit Nullen). Mein RAM ist 4GB und ich habe den Befehl mehrmals nach ca. 1 Minute mit Strg+c abgebrochen. Ich weiß nicht, was da genau passiert. Ich gucke mir mal "dd" an.

Da würde ich wirklich mal schauen, ob sich das mit dd ersetzen lässt. einmal mit Nullen und einmal mit Einsen sollte mehr als genug Sicherheit bringen.

Mit "dd" kann ich nicht auf "/dev/mem" zugreifen ("Die Operation ist nicht erlaubt."). Googlen brachte die Erklärung, dass es seit einiger Zeit aus Sicherheitsgründen nicht mehr möglich ist auf "/dev/mem" zuzugreifen. Um den Sicherheitsmechanismus zu umgehen müsste ich erst etwas am Kernel ändern, was ich eigentlich nicht möchte. Wie machst du das denn mit "dd"?

Dann würde ich mir mal den Quelltext von TAILS (www.torproject.org) angucken. Denn das System löscht den Speicher nach dem Beenden der Session.

stfischr schrieb:

Nein das ganze geht auch bei Zimmertemperatur noch nach 10 Minuten, hängt aber auch sehr vom jeweiligen Speicher ab.

Sehr allgemeine Aussage, ich behaupte einfach mal pauschal das 99% der normalen RAMs die man Verwendet den Speicher bestenfalls im Bereich von 5 Minuten einigermaßen erhalten. Wie gesagt, wenn überhaupt.

Aber gehen wir mal etwas weiter, ich will deinen RAM haben. Also fahre ich deinen PC garnicht erst runter, sondern mach das Gehäuse auf und stecke mich auf die Firewire oder Thunderbolt Schnittstelle. Dank DMA juckt mich der Rest von deinem System nicht die Bohne

Ein Cold-Boot Angriff wird auch nicht von irgendwelchen dämlichen N00bs gemacht die dein Notebook klauen, die klauen das wegen dem Materialwert. Der ganze Aufwand hierfür ist so groß das es sich für eben 99% der Leute einfach nicht lohnt überhaupt daran zu denken.

Einfach aber effektiv ist übrigens der gute POST vom BIOS, hier einfach den Speichercheck einschalten. Der prüft den RAM durch Lese und Schreibzugriffe. Wenn der durch ist am Bootloader mit GRUB das System ausschalten, fertig. Das ganze ohne irgendwelche Modifikationen am System, und sogar Betriebssystemunabhängig! Das ganze schützt auch vor dem Abrupten Ausschalten (Reset Taste), was ein Script das beim Shutdown läuft nicht tun würde.

Aber probiert es doch mal mit irgendwelchen Tool aus, startet den PC neu und versucht was vom alten Speicherinhalt lesen zu können. Wir können gerne noch 10-20 Seiten weiter über den Sinn und Unsinn dagegen diskutieren, aber für jeden Angriff gibt es Gegenmaßnahmen, und für jede Gegemaßnahme gibt es einen Angriff

mfg Betz Stefan

Aaron Pierce schrieb:

Ich meinte, dass es wesentlich unrealistischer ist, dass mein Rechner, nachdem er grade vorher heruntergefahren wurde, in fremde Hände gerät, die dann sofort eine Kaltstartattacke durchführen, als dass er im laufenden (aber gesperrten) Zustand in fremde Hände fällt, die dann beliebig viel Zeit haben eine Kaltstartattacke vorzubereiten.

KOmmt auf das Szenario an, daher ja die Nachfrage. Wenn die Polizei bei dir anklopft: Nr 1 bis sie in deinem Arbeitsraum sind. Nr 2 Bei räuberischem Diebstahl. Aber da interessiert eher der Metrialwert, wie encbladexp schon ausführte. Bleibt also immer noch die frage: Um welches System handelt es sich und vor swelchen Szenarien willst Du dich schützen.