نحوه‌ی محافظت از اطلاعات محرمانه در RAM

07 تیر 1402 نحوه‌ی محافظت از اطلاعات محرمانه در RAM

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ اخیراً توسعه‌دهندگان مدیر کلمه عبور KeePass، آسیب‌پذیری‌ای را که اجازه می‌داد پسوردِ مستر از RAM (جایی که در متن شفاف[1] ذخیره شده بود) بازیابی شود بست. آسیب‌پذیری در واقع اجازه می‌داد بخش‌هایی از اطلاعات مهم مانند پیام‌های اخیر یا داده‌هایی از پایگاه‌های داده سازمانی می‌توانند از مموری سرقت شوند. توسعه‌دهندگان KeePass سریعاً راه‌حل مشکل را پیدا کردند اما پسوردها در پیشتر اپ‌ها هنوز در RAM در حالت ذخیره‌شده در متن شفاف ذخیره شدند و همین می‌تواند پاشنه آشیل سیستم‌های امنیتی باشد. یک حمله مموری به نظر عجیب و پیچیده می‌آید اما برای مهاجمین سایبری پیش بردن موفقیت‌آمیز چنین حمله‌ای مثل آب خوردن می‌ماند (اگر ادمین‌ها نتوانند اقدامات پیشگیرانه ویژه‌ای اتخاذ کنند).

چطور کسی می‌تواند به مموری کامپیوتر دسترسی داشته باشد؟

محدوده‌های رم که توسط اپ‌های مختلف استفده می‌شود تا حد زیادی توسط سیستم عامل و هایپروایزر از همدیگر ایزوله هستند. از این رو امکان خواندن بخشی از مموری که در آن اپ دیگری در حال اجراست امکان‌پذیر نیست. با این وجود فرآیندهایی با مزیت‌های کرنل (سیستم در ویندوز، روت در *NIX) می‌توانند این کار را انجام دهند. و همچنین برای افزایش مزیت سطح لازم چندتایی روش و در این میان آسیب‌پذیری‌هایی هم در بخش سیستم عامل و هم درایورهای دستگاه که اکثرشان مشترک هستند وجود دارد. راه دیگر نفوذ به RAM با حمله DMA است. این نوع حمله مبتنی بر این حقیقت است که رابط‌های با سرعت بالا (USB 4.0, Thunderbolt, Firewire و غیره) دسترسی مستقیم به مموری دارند و می‌توانند فرآیندهای I/O را تسریع بخشند. دستگاهی که به طور ویژه‌ای طراحی شده باشد می‌تواند برای خواندن هر بخش مموری از این قابلیت سوءاستفاده کند و این تهدیدی فرضی نیست: موارد واقعی آن وجود دارد (FinFireWire). اما حتی بدون دستگاه‌های پیچیده و آسیب‌پذیری‌ها هنوز این کار شدنی است! به دلیل اینکه سیستم‌عامل محتوای RAM را داخل فایل‌ها می‌نویسد، اطلاعات داخلش می‌تواند براحتی با خواندن آن فایل‌ها مورد دسترسی قرار گیرند.

چندین فایل از این جنس در ویندوز وجود دارد:

  •         فایل‌های Temporary swap (pagefile.sys)
  •         فایل‌های Hibernation save (hiberfil.sys)
  •         مموری دامپِ خرابی و دیباگ (memory.dmp, minidump). و چنین فایل‌هایی را می‌شود به طور دستی هم تولید کرد.

روی لینوکس، دو مورد سواپ (تغییر) و هیبرناسیون (خواب زمستانی) از بخش اختصاصیِ دیسک که برای این مقاصد به اشتراک گذاشته شده است استفاده می‌کنند. رسیدن به یکی از این فایل‌ها معمولاً نیازمند دسترسی فیزیکی به کامپیوتر است اما لازم نیست کسی به اطلاعات محرمانه نیاز داشته باشد یا حتی بخواهد دستگاه را روشن کند. می‌شود هارد درایو را حذف کرد و آن را روی کامپیوتر دیگری خواند.

چطور جلوی حمله به مموری را بگیریم؟

از آنجایی که راه‌های مختلفی برای دستکاری مموری وجود دارد باید از خود همزمان روی چندین سطح محافظت کنید. برخی راهکارها کاربرپسند نخواهند بود پس پیش از اعمال آن‌ها سناریوهای کاربردیِ هر کامپیوتر را در شرکت خود بررسی کرده و حواستان به ریسک‌ها نیز باشد.

اقداماتی سرراست

بیایید با یک سری اقدامات ساده و سرراست که در همه موارد می‌شود به کارشان برد شروع کنیم:

پیاده‌سازی اصلِ اقلِ مزیت

همه کاربران باید بدون حقوق ادمین کار کنند. حتی خود ادمین‌ها باید فقط در طول مدت روندهای تعمیر وقتی واقعاً به حقوق‌شان نیاز است به چنین مزیت‌هایی دسترسی داشته باشند.

بکارگیری سیستم‌های محافظتی

روی همه کامپیوترهای فیزیکی و مجازی باید سیستم‌های محافظتی باشد. شرکت‌ها باید به سیستم‌های EDR مجهز باشند. ممطئن شوید خط‌مشی‌های امنیتی نمی‌گذارند کارمندان ابزارهای ای بسا قانونی اما بالقوه خطرناک را که می‌توانند برای افزایش مزیت به کار روند اجرا کنند.

به روزرسانی

سیستم عامل و همه اپ‌های کلیدی را به روز نگه دارید.

حصول اطمینان از بوت کامپیوترها در حالت UEFI

مطمئن شوید کامپیوترها در حالت BIOS بوت نمی‌شوند. مرتباً سفت‌افزار UEFI خود را روی همه کامپیوترها به روز کنید.

پیکربندی تنظیمات امن UEFI

واحد مدیریت خروجی/ورودی مموری (IOMMU) را برای پیشگیری از حملات DMA غیرفعال کنید. از UEFI با پسورد محافظت کرده برای کاهش ریسک اینکه سیستم از مدیای مخرب خارجی شروع شود و ستنیگ به حالت ناامنی تغییر داده شود، ترتیب بوت صحیح سیستم عامل را تعریف کنید. دو قابلیت Secure Boot و   Trusted Boot همچنین جلوی اجرا شدن کد غیرقابل‌اطمینان سیستم‌عامل را می‌گیرند.

اقداماتی مبهم

همه اقدامات فهرست‌شده در این بخش به طور قابل‌ملاحظه‌ای امنیت سیستم را بالا می‌برند اما گاهی به طور منفی روی عملکرد کامپیوتر، کاربرپسند بودن و/یا قابلیت ریکاوری بعد از فاجعه تأثیر می‌گذارند. هر یک از این راهکارها به دقت لازم در بطن نقش‌های خاص داخل شرکت نیاز دارند و پیاده‌سازی اقدامات باید همراه با دقت فراوان و انجام مرحله به مرحله‌ی تست باشد.

  •         ذخیره‌گاه کلید سخت‌افزاری مبتنی بر TPM 2.0 به نام Trusted Platform Module احراز امن سیستم عامل را ارائه داده، برای ورود به اکانت از بیومتریک استفاده کرده و استخراج کلید را سخت‌تر می‌کند. TMP همچنین تا حد زیادی محافظتی را که رمزگذاری تمام دیسک بر عهده دارد ارتقا می‌دهد زیرا کلیدهای آن همچنین در ماژول نیز ذخیره می‌شوند. عیوب احتمالی: نبود TPM روی برخی کامپیوترها؛ عدم ناسازگاری ترکیب‌های سیستم‌عامل/سخت‌افزار، مشکلاتی با مدیریت متمرکز کلید (به دلیل سیستم‌های متفاوت و نسخه‌های مختلف TPM).
  •         این اقدام به طور شایانی ریسک نشت داده را خصوصاً از لپ‌تاپ‌های مفقودشده یا سرقت‌گشته پایین می‌آورد. پس آن را حتی برای آن‌هایی که انقدرها هم از حملات مموری نمی‌ترسند توصیه نمی‌کنیم. پیاده‌سازی بومی مایکروسافت،  BitLocker نام دارد اما راهکارهای طرف‌سومی هم هستند. FDE (رمزگذاری تمام دیسک) نیز بخشی از بسیاری از سیستم‌های مبتنی بر لینوکس شده است (برای مثال نسخه اوبونتو 20 به بالا) و معمولاً بر پایه‌ی  LUKS است. ترکیبی از TPM و FDE بالاترین میزان قابلیت اطمینان را به ارمغان می‌آورد. عیوب احتمالی: اگر خرابی بزرگی به بار آید هیچ‌چیز از درایو قابل‌ریستور نیست. از این رو حتماً باید سیستم بک آپی با کارکرد عالی در نظر گرفته شود. گاهی در عملکرد درایو، کندی فاحشی پیش می‌آید خصوصاً موقعی که کامپیوتر دارد بوت‌آپ می‌کند.
  •         غیرفعالسازی حالت خواب/استندبای. اگر حالت خواب را غیرفعال کنید وضعیت‌هایی که در آن مهاجمین به کامپیوتر بوت‌شده و نیمه رمزگذاری‌شده آسیب‌پذیر در مقابل حمله DMA و سایر متودها، به شدت نادر خواهد شد. عیب این راهکار واضح است: زیرا مود خواب از قضا سریع‌ترین و راحت‌ترین روش خاموش کردن کامپیوتر بعد از کار و یا تغییر لوکیشن در اداره است. اگر تصمیم دارید این مسیر را پیش روید همیشه FDE را اجرا کنید که در غیر این صورت، کارمندان احتمالاً از خواب زمستانی استفاده کرده و فایل خواب زمستانی در برابر حملات بی‌دفاع باقی خواهد ماند.
  •         غیرفعالسازی مود خواب زمستانی. چنانچه خواب زمستانی غیرفعال شد، تصویر مموری نمی‌تواند از یک فایل روی کامپیوتر خاموش کپی شود. برای کامپیوترهای مهم هم می‌توانید هم حالت خواب زمستانی و هم حالت خواب را غیرفعال کنید. چنین دستگاه‌هایی فقط باید خاموش شوند. اگر FDE، TPM و سایر اقدامات با هم ادغام شوند احتمال حمله به مموری به پایین‌ترین حالت خودش خواهد رسید. اما کاربران حسابی به زحمت خواهند افتاد پس باید به طور جدی فکر کنید کدام مورد چنین رویکردی را توجیه می‌کند.

بی‌پرده بگوییم

اگر تصمیم داشتید به خاطر امنیت هم که شده دو حالت خواب، و خواب زمستانی را غیرفعال کنید به دقت بررسی کنید این خط‌مشی برای چه کارمندانی باید اجرایی شود. بعید است 100 درصد کارمندان بدان نیاز داشته باشند. بیشتر این سیاست برای کسانی است که با اطلاعات حیاتی سر و کار دارند. باید به آن‌ها توضیح دهید پسوردها و سایر داده‌ها به طرق مختلف می‌توانند سرقت شوند پس اقداماتی چون استفاده از آنتی‌ویروس و جلوگیری از فلان سایت برای پیشگیری از وقوع رخدادهای جدی امنیت سایبری کافی نیستند. همینطور خوب است اگر با کارمندان خود در مورد یکایک این اقدامات امنیتی کوتاه و مختصر صحبت کنید.

رمزگذاری تمام دیسک محافظت در برابر کپی کردن ساده داده‌ها از یک رایانه به حال خود رهاشده یا سرقت شده و همچنین در برابر حملات "evil maid" - یعنی یک غریبه با دسترسی فیزیکی به دستگاه را ارائه می‌دهد. غیرفعال کردن خواب و خواب زمستانی این حفاظت‌ها را تقویت می‌کند، بنابراین پنج دقیقه اضافی مورد نیاز برای روشن و خاموش کردن کامپیوتر به کارمند کمک می‌کند تا در صورت استفاده از رمز عبور خود در یک حمله سایبری، قربانی نشود.

 

 

 

[1] cleartext

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    7,238,100 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    10,860,600 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    1,086,060 ریال10,860,600 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    72,443,100 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    10,246,500 ریال20,493,000 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    14,693,550 ریال29,387,100 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    15,718,200 ریال31,436,400 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    65,201,550 ریال130,403,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    78,242,550 ریال156,485,100 ریال
    خرید
  • Kaspersky Small Office Security

    250,670,100 ریال
    خرید
  • Kaspersky Small Office Security

    91,283,550 ریال182,567,100 ریال
    خرید
  • Kaspersky Small Office Security

    291,966,600 ریال
    خرید
  • Kaspersky Small Office Security

    104,324,550 ریال208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    333,987,600 ریال
    خرید
  • Kaspersky Small Office Security

    117,365,550 ریال234,731,100 ریال
    خرید
  • Kaspersky Small Office Security

    375,284,100 ریال
    خرید
  • Kaspersky Small Office Security

    119,539,050 ریال239,078,100 ریال
    خرید
  • Kaspersky Small Office Security

    382,529,100 ریال
    خرید
  • Kaspersky Small Office Security

    168,442,800 ریال336,885,600 ریال
    خرید
  • Kaspersky Small Office Security

    539,021,100 ریال
    خرید
  • Kaspersky Small Office Security

    217,346,550 ریال434,693,100 ریال
    خرید
  • Kaspersky Small Office Security

    695,513,100 ریال
    خرید
  • Kaspersky Small Office Security

    262,627,800 ریال525,255,600 ریال
    خرید
  • Kaspersky Small Office Security

    840,413,100 ریال
    خرید
  • Kaspersky Small Office Security

    498,090,300 ریال996,180,600 ریال
    خرید
  • Kaspersky Small Office Security

    1,593,893,100 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد