Geheugendump-aanval

Een geheugendump-aanval is het vastleggen en gebruiken van RAM-inhoud die naar een opslagschijf is geschreven tijdens een onherstelbare fout, die meestal door de aanvaller is getriggerd.

Ontwikkelaars gebruiken vaak  geheugendumps om diagnostische informatie te verzamelen op het moment van een crash om hen te helpen problemen op te lossen en meer te weten te komen over de gebeurtenis. De informatie die is opgeslagen in RAM op het moment van een crash bevat de code die de fout heeft veroorzaakt. Het bewaren van deze fout en de omgeving waarin hij optrad, is het gebruikelijke doel van een dump. Omdat deze dumps alles kunnen bevatten wat zich in het actieve RAM van de computer bevindt, kunnen ze privacy- en veiligheidsproblemen opleveren.

Hackers hebben toegang tot geheugendumps om anderszins beschermde gegevens of informatie te verkrijgen of om de hostcomputer en/of systemen waarmee deze verbonden is, te compromitteren. Als een aanvaller wat code kan uitvoeren en lezen, kan hij een geheugendump veroorzaken door bijvoorbeeld een bufferoverloopfout, en de resulterende dump kan bij het opnieuw opstarten worden gelezen. Als die gegevens op de schijf worden opgeslagen, kunnen ze ook veiligheidsrisico's opleveren als slimme hackers er toegang toe krijgen en gevoelige informatie, cleartext wachtwoorden of decryptiesleutels vinden die normaal gesproken niet gemakkelijk toegankelijk zouden zijn.

Memory dump-aanvallen kunnen op een aantal manieren worden verijdeld:

  • Programma's die password hashes gebruiken in plaats van clear text wachtwoorden op te slaan.
  • Tokenization zodat alleen representatieve gegevens in het geheugen komen te staan en gevoelige gegevens elders worden opgeslagen.
  • .NET gebaseerde toepassingen kunnen SecureString en Data Protection gebruiken om de tijd te beperken dat wachtwoorden onversleuteld beschikbaar zijn.
  •  Sommige Microsoft en andere besturingssystemen staan geheugendumps toe die minder informatie bevatten en kunnen het ook mogelijk maken om geheugendumps uit te schakelen.

In het geval dat een geheugendump wordt getriggerd, is de veiligste reactie het opsporen van het programma dat de dump heeft veroorzaakt en controleren op tekenen van inbraak, zoals keyloggers en packetsniffers.