Attacco di dump della memoria

Un attacco di dump della memoria è l'acquisizione e l'utilizzo del contenuto RAM scritto su un'unità di archiviazione durante un errore irreversibile, che in genere è stato attivato dall'autore dell'attacco.

Gli sviluppatori utilizzano comunemente i dump della memoria per raccogliere informazioni diagnostiche al momento di un arresto anomalo per aiutarli a risolvere i problemi e ottenere ulteriori informazioni sull'evento. Le informazioni memorizzate nella RAM al momento di un arresto anomalo contengono il codice che ha prodotto l'errore. La conservazione di questo errore e dell'ambiente in cui si è verificato è lo scopo normale di un dump. Poiché questi dump possono includere qualsiasi cosa nella RAM attiva del computer, possono presentare problemi di privacy e sicurezza.

Gli hacker accedono ai dump della memoria per ottenere dati o informazioni altrimenti protetti o per compromettere il computer host e / oi sistemi a cui si connette. Se un utente malintenzionato ottiene un po 'di esecuzione del codice e capacità di lettura, può causare un dump della memoria attraverso un errore di overflow del buffer (ad esempio) e il dump risultante potrebbe essere letto al riavvio. Quando tali dati vengono archiviati sull'unità, possono anche presentare rischi per la sicurezza se hacker esperti vi accedono e trovano informazioni sensibili, password in chiaro o chiavi di decrittazione che normalmente non sarebbero facilmente accessibili.

Gli attacchi di dump della memoria possono essere contrastati con una serie di mezzi:

  • Programmi che utilizzano gli hash delle password invece di memorizzare le password in testo non crittografato.
  • Tokenizzazione in modo che solo i dati rappresentativi siano in memoria e i dati sensibili siano archiviati altrove.
  • Le applicazioni basate su .NET possono utilizzare SecureString e Data Protection per limitare il tempo in cui le password sono disponibili non crittografate.
  •  Alcuni sistemi operativi Microsoft e altri consentono dump della memoria che contengono meno informazioni e possono anche rendere possibile disattivare i dump della memoria.

Nel caso in cui venga attivato un dump della memoria, la risposta più sicura è rintracciare il programma che lo ha causato e verificare la presenza di segni di intrusione come keylogger e packetsniffer.