近期，幾位F-Secure安全研究人員發現了一種冷啟動攻擊的新變種，可以竊取計算機上的密碼、密鑰或是一些加密信息，即便是在計算機斷電之后同樣可以破解，并且這種攻擊對多數現代計算機都適用。

RAM(隨機存取存儲器)以斷電時能夠短暫的保留數據而為人稱道，在低溫條件下保存時間甚至可以更長。而冷啟動攻擊也正式依托于此，攻擊者可以通過這短暫的保留時間來竊取內存中的信息。

[[244640]]

冷啟動攻擊早期防治

冷啟動攻擊最早發現于2008年，只不過當時的攻擊還需要物理訪問目標計算機，因此攻擊的成本很高，往往用在一些高價值目標而非普通用戶上。

所謂兵來將擋水來土掩，各大計算機廠商也針對這個問題制定了一系列的防范措施。

AMD、惠普、IBM、英特爾和微軟幾大公司組建了可信計算組織(Trusted Computing Group)來解決這個問題，組織制定了一項標準，在電源恢復時覆蓋RAM的內容來保護計算機數據免受此類攻擊。

標準名稱為TCG重置攻擊緩解或內存覆蓋請求控制(MORLock)。這樣即使攻擊者能夠非?？斓膭撛斐霰４鏀祿璧牡蜏貤l件，在系統啟動時內存中的所有信息仍然會被清理。

MORLock成為歷史

F-Secure的安全研究人員Olle Segerdahl和Pasi Saarinen發現的新型攻擊方式，可以通過對存儲覆蓋指令重新編程來修改存儲芯片的動作，因此可以在禁用該項功能后通過外接設備繼續啟動并提取RAM中的數據。

只有完全關閉或休眠的計算機能夠免疫這種攻擊(因為切斷了電源)。但是在睡眠模式下，計算機先前的狀態會保存在RAM中，并以最小功率運行以保存數據，因此睡眠模式的計算機同樣無法幸免。

一套輸出兩分鐘

兩位研究人員通過視頻演示，完整的復現了新型冷啟動攻擊：https://v.qq.com/x/page/u0707hisikf.html

最合適的上手時間是計算機關閉-重新啟動期間，在此時凍結RAM芯片能夠有效的保存數據，利于攻擊者的一系列操作。

該技術能夠竊取計算機內存中的數據，包括加密硬盤的密鑰。

至于BitLocker(驅動器加密)，如果用戶將其設置為啟動時使用PIN碼驗證身份，那么入侵者只有一次攻擊的機會，因為在提取RAM數據時PIN碼也是必需的。也就是說，PIN碼的存在等于是給數據多上了一道鎖。但是在沒有PIN驗證的計算機上，這種攻擊可以做到一打一個準。

在這兩位研究員看來，雖然實現攻擊需要一定的難度，但是他們相信肯定有一部分人也已經掌握了這種攻擊方式，并且伺機而動。當然，對于普通用戶來說，用冷啟動攻擊有點殺雞用牛刀的意思，因此他們認為，大型企業，例如銀行之類的，可能是被重點關注的對象。

如何防范

專家對此建議是，在不用筆記本的時候最好將其完全關閉或休眠(一定要區分休眠和睡眠兩種模式)，同時再增加PIN碼驗證，能夠最大程度的抵御攻擊。

為了證實攻擊真實存在，微軟方面也針對BitLocker發布了公告，告知用戶現在的BitLocker已無法抵御冷啟動攻擊。

與之對應的是，掌握另一大操作系統的蘋果沒有做出任何回應，而是直接發布新一代的Mac(手動滑稽)，因其CPU采用的獨特的加密芯片，這種攻擊基本沒法破防，所以請廣大Mac用戶放心食用。(這條不是廣告)