ГОСТИНАЯ: Простые истины
Автор: Киви Берд
Подобно тому, как вся классическая геометрия базируется на пяти постулатах Эвклида, защита информации тоже имеет в своем фундаменте несколько базовых принципов, опровергнуть которые не удавалось еще никому. Один из них формулируется примерно так: "Стойкость любой системы к атакам может повышаться и снижаться, однако атаки со временем становятся только лучше". Эту весьма простую и одновременно очень глубокую мысль наглядно подтверждают все текущие новости из области компьютерной безопасности. И вот лишь два свежих тому примера.
Группа исследователей из Принстонского университета, возглавляемая профессором Эдом Фелтеном, опубликовала работу о новом, сравнительно несложном и при этом весьма эффективном способе преодоления стандартной криптозащиты данных на жестких дисках (citp.princeton.edu/memory). Серьезность и универсальность новой атаки продемонстрирована на вскрытии защиты трех популярных и, как считается, сильных средств шифрования: BitLocker, идущего в комплекте с Windows Vista; FileVault - штатного средства Mac OS X; и dm-crypt, широко используемого в машинах под управлением Linux.
Исследователи воспользовались довольно неожиданным свойством современных чипов оперативной памяти DRAM. Практически все, кто знаком с устройством компьютера (не исключая специалистов), привыкли считать, что содержимое DRAM безвозвратно теряется при выключении питания. Однако в действительности это не так. Ячейки памяти состоят из крошечных конденсаторов, которые для хранения двоичных нулей и единиц либо заряжаются, либо остаются незаряженными. Такие заряды со временем рассеиваются, поэтому в обычных условиях работы содержимое ячеек постоянно обновляется. Однако схемы памяти имеют очень высокий импеданс, из-за чего данные в ячейках сохраняются еще довольно долго и после того, как прекращается обновление. Но насколько долго? "Принстонские хакеры" показали, что содержимое DRAM "рассасывается" постепенно, в интервале от считанных секунд до нескольких минут. А этого вполне достаточно, чтобы умелый злоумышленник сумел считать содержимое памяти, отключив питание и перезагрузив компьютер со своей шпионской операционной системой.
Более того, если чипы DRAM принудительно охладить - например, с помощью сжатого воздуха из баллончика-спрея, то содержимое сохраняется в памяти гораздо дольше. Эксперименты показали, что при температуре около –50 °C, обеспечиваемой обычным баллончиком из хозяйственного магазина, можно извлекать чипы из одного компьютера и вставлять для снятия слепка памяти в другой, поскольку их содержимое без заметных потерь сохраняется по меньшей мере минут десять. Если же охладить чипы, поместив их в жидкий азот (–196 °C), то они без всякой подпитки сохраняют память "замороженной" как минимум несколько часов.
Для криптографической защиты данных на жестком диске это открытие, по сути, означает смертный приговор. По той простой причине, что во всех стандартных шифрсредствах криптоключ, используемый для расшифровки данных, принято хранить в открытом виде в памяти DRAM. Это всегда считалось безопасным, потому что операционная система бдительно следит за ячейками памяти с ключом и ограждает их от "посягательства" любой посторонней программы. Причем от контроля операционной системы можно избавиться, только отключив питание компьютера, а это, как считалось, безвозвратно стирает ключи из оперативной памяти. Теперь же, увы, стало очевидно, что подобная система имеет ахиллесову пяту, сводящую на нет ее преимущества.
Эксперименты с вышеупомянутыми криптосредствами для трех наиболее популярных ОС показали следующее. Если компьютер работает или "спит", злоумышленник может его обесточить, затем включить снова и загрузить (например, с USB-флэшки) собственную операционную систему, которая и скопирует содержимое оперативной памяти. Сняв слепок с DRAM, атакующая сторона может быстро просканировать его содержимое и по заранее известным шаблонам отыскать в массиве криптоключи, необходимые для расшифровки защищенного содержимого на жестком диске. Причем легких способов противодействия такой атаке на горизонте пока не видно. Самый простой, и пожалуй единственный - полностью выключать питание компьютера всякий раз, когда он остается без присмотра.
О другой атаке, обнародованной практически одновременно с принстонской, столь же подробно рассказывать не будем, да и вряд ли в этом есть необходимость. Потому что вскрытие криптозащиты в системе мобильной связи GSM давно не новость, а статьи об успешном криптоанализе самого сильного среди применяемых там алгоритма шифрования A5/1 публикуются уже добрый десяток лет. Что же действительно впечатляет в новейшей атаке, реализованной парой хакеров (David Hulton, Steve Muller) на недавней конференции BlackHat DC в Вашингтоне, так это ее параметры. А именно: на создание оборудования затрачено всего около тысячи долларов; работает оно пассивно, никак не проявляя себя в эфире; общее время на вскрытие ключа составляет лишь 30 минут. При затрате же несколько большей суммы время взлома можно сокращать до секунд. В конце прошлого десятилетия, напомним, для решения этой же задачи в лаборатории Microsoft потребовалось несколько недель вычислений целой сети весьма мощных рабочих станций.
Что еще раз подтверждает простую истину: атаки со временем становятся только лучше, а хуже - никогда.