从编程随想被捕事件谈信息安全
从判决书来看,编程随想应该使用的是笔记本+加密虚拟机的方式翻墙,但是被以移动鼠标的方式防止电源关闭
我认为这是一个比较大的失误
对于使用硬盘全局加密方案,在系统启动之后密钥会保存在内存中以对加密数据能够读写,
有多种技术可以从有密码但处在正在运行中的系统提取密钥.
例如PCIE DMA,利用cpu的硬件协议直接对内存进行读取,而这个过程是操作系统无法阻止的,
系统密码没有任何作用.
高版本系统可以启用虚拟化功能防止此类攻击.
例如win11上启用虚拟化保护.
除此之外还有可能使用低温攻击,系统0day的方式攻击
全局硬盘加密只能保证在"冷"的时候的数据安全,而对于启动后无法保证
只有当电源彻底关闭30S才能保证内存数据不会被读出,
所以遇到紧急情况能否快速关闭电源是非常关键的
另外谈几点关于信息安全
1.如果遇到电脑被没收再返还,不要直接使用,bios能以很简单通用的方式修改,植入通用windows,linux系统的后门是完全可能的
2.不建议使用多虚拟机的方式,因为存在虚拟机逃逸的可能,或者主系统被入侵的可能,
应使用每个系统对应不同的场景,每个系统对应不同的硬盘,并且不要在一台电脑上同时插入两个硬盘
我认为这是一个比较大的失误
对于使用硬盘全局加密方案,在系统启动之后密钥会保存在内存中以对加密数据能够读写,
有多种技术可以从有密码但处在正在运行中的系统提取密钥.
例如PCIE DMA,利用cpu的硬件协议直接对内存进行读取,而这个过程是操作系统无法阻止的,
系统密码没有任何作用.
高版本系统可以启用虚拟化功能防止此类攻击.
例如win11上启用虚拟化保护.
除此之外还有可能使用低温攻击,系统0day的方式攻击
全局硬盘加密只能保证在"冷"的时候的数据安全,而对于启动后无法保证
只有当电源彻底关闭30S才能保证内存数据不会被读出,
所以遇到紧急情况能否快速关闭电源是非常关键的
另外谈几点关于信息安全
1.如果遇到电脑被没收再返还,不要直接使用,bios能以很简单通用的方式修改,植入通用windows,linux系统的后门是完全可能的
2.不建议使用多虚拟机的方式,因为存在虚拟机逃逸的可能,或者主系统被入侵的可能,
应使用每个系统对应不同的场景,每个系统对应不同的硬盘,并且不要在一台电脑上同时插入两个硬盘
