{"id":789,"date":"2008-12-27T22:09:18","date_gmt":"2008-12-27T21:09:18","guid":{"rendered":"http:\/\/www.mitternachtshacking.de\/blog\/789-25c3-cold-boot-attacks-on-hard-drive-encryption"},"modified":"2018-05-31T22:10:47","modified_gmt":"2018-05-31T21:10:47","slug":"25c3-cold-boot-attacks-on-hard-drive-encryption","status":"publish","type":"post","link":"https:\/\/www.mitternachtshacking.de\/blog\/789-25c3-cold-boot-attacks-on-hard-drive-encryption","title":{"rendered":"25C3: Cold Boot Attacks on Hard Drive Encryption"},"content":{"rendered":"<p>Ich habe oben den Titel von den Pr\u00e4sentationsfolien von Jacob Appelbaum genommen, in der Agenda steht <a href=\"http:\/\/events.ccc.de\/congress\/2008\/Fahrplan\/events\/2922.en.html\">Advanced memory forensics: The cold boot attacks<\/a>.<\/p>\n<p>Eine typische Annahme \u00fcber Computer ist, wenn man das Ger\u00e4t abschaltet, ist der RAM gel\u00f6scht. Diese Annahme ist falsch. DRAM mit refresh h\u00e4lt Bits normalerweise sehr zuverl\u00e4ssig, ein zuf\u00e4lliger Bit-Flip tritt kaum auf. Ohne refresh treten diese Bit-Flips auf, aber selbst nach mehreren Sekunden ist der RAM-Zustand bei weitem nicht zuf\u00e4llig. Man kann immer noch Daten extrahieren. Inzwischen gibt es umfangreiche Arbeiten zu diesem Thema.<\/p>\n<p>Bei einem Cold Boot Angriff bringt man das System zum Absturz, versorgt den RAM erneut mit Strom und liest ihn aus. Dazu kann man den Rechner beispielsweise mit einem speziell zusammengestellten System von USB booten, das den RAM so wenig wie m\u00f6glich \u00fcberschreibt (&lt;10 KB). Interessant ist das bei einem Rechner mit Screenlock und Festplattenverschl\u00fcsselung. Der Festplattenverschl\u00fcsselungskey muss schlie\u00dflich im RAM vorliegen, wenn das System l\u00e4uft.<\/p>\n<p>Der Code der Tools, eine FAQ und Videos sind <a href=\"http:\/\/citp.princeton.edu\/memory\/\">komplett ver\u00f6ffentlicht<\/a>. Happy Hacking.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Ich habe oben den Titel von den Pr\u00e4sentationsfolien von Jacob Appelbaum genommen, in der Agenda steht Advanced memory forensics: The cold boot attacks. Eine typische Annahme \u00fcber Computer ist, wenn man das Ger\u00e4t abschaltet, ist der RAM gel\u00f6scht. Diese Annahme ist falsch. DRAM mit refresh h\u00e4lt Bits normalerweise sehr zuverl\u00e4ssig, ein zuf\u00e4lliger Bit-Flip tritt kaum [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[13],"tags":[],"_links":{"self":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/789"}],"collection":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/comments?post=789"}],"version-history":[{"count":0,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/789\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/media?parent=789"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/categories?post=789"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/tags?post=789"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}