RAM Brute-Force: Was passieren kann wen der RAM plötzlich voll ist

Wenn der RAM voll ist dann wird der Computer langsamer und es kann auch zu Programm-Abstürzen kommen. Ich habe bereits in der letzten Woche von einem Problem berichtet, bei dem ein zu grosser RAM Gebrauch das Problem verursachte und vor 2 Tagen fand ich dann einen Virus der versuchte meinen RAM vollzuspammen. Die Probleme die auf eine solche RAM-Überlastung sind meist indirekt,es gibt Probleme, weil einige Programme nicht mehr schreiben oder lesen können. Hier ein kleines Beispiel: Bei der oben gennanten Sicherheitslücke versuchte der App Store eine Anfrage an den NVRAM zustellen und will abfragen, ob das eingegebene Passwort mit dem ROOT Passwort übereinstimmt. Dies schlug aber fehl, weil es vorkommen kann, dass gleichzeitig viele andere Anfragen eingingen und der RAM noch nicht antwortete. Anstatt aber abzuwarten, beendete killd den Prozess, da es eine Fehlkonfiguration von der Maximalen Laufzeit gab. Die anderen Prozesse beendeten den Auth-Prozess zwar und gaben den auf dem Bild zu sehenden Fehler aus, allerdings gab es ein Problem beim App-Store welches den Zugriff auf die Einstellungen ermöglichte. Der Virus den ich mir eingefangen hatte versuuchte in Ubuntu die maximale Laufzeit von einigen Sicherheitsprozessen auszunutzen, denn wenn diese beendet werden, braucht die CPU immer ein bisschen Zeit bis die Clock neu gestartet wurde und neue Spannung fliessen kann. Dies ist auch Physikalisch bedingt.

RAM VOLL:

Ein weiteres Problem ist, dass bei gewissen Betriebssystemen passieren kann, dass Daten überschrieben werden. Dies passiert zum Beispiel manchmal wenn gleichzeitig mehrere Kopier-Vorgänge durchgeführt werden. Dabei verlangsamen alle Prozesse inklusive Sicherheitsrelevanten.

Du kannst das Verhalten deines Gerätes bei Überlastung durch online-bitcoin mining testen. Dabei wird ein Skript ausgeführt es kann  zu Performance Problemen und bei Mobilen Geräten zu Akku-Leistungsschwund kommen. (Hier klicken)

Experiment:

Um den Versuch durchzuführen habe ich selber ein Programm geschrieben, dass immer wieder eine mehrere GB grosse Datei kopiert hat und ihr auch andere Namen gegeben hat. Denn wen die Kopie immer den gleichen Namen gehabt hätte wäre es für ein Anti-Viren Programm sehr leicht, zu erkennen, dass es sich um Spam handelt. Um zu schauen ob bei einem Download das auch passieren könnte, habe ich die EICAR Testvirus Datei mehrere viele Male heruntergeladen (in sehr kurzer Zeit).

Der Download-Test:

Zuerst ging es noch recht flott, als ich die Datei aber dann mittels einem Bot (ps: Habe den Testvirus auf meinem Homeserver gespeichert) immer wieder heruntergeladen habe, war bereits nach 1 Sekunde Schluss. Das Programm ist zwar in diesem Fall nicht abgestürzt, hat aber die heruntergeladenen Dateien nicht mehr einzeln erkannt und nach einer IF Abfrage, kam wohl das Resultat, dass es sich um eine Datei handelt und es nur ein Problem mit dem Log sei. Dies hat vielleicht auch deshalb so gut funktioniert, weil die Dateien kontinuierlich mit dem gleichen Namen, in den gleichen Ordner gelegt wurden. 

Nun zum eigentlichen Versuch:

Bis zu 8 Kopien von den je 4 GB grossen Dateien wurden erkannt, danach gab es einige Probleme. Das Anti-Viren Programm stürzte zwar nicht komplett ab, aber der Scanner-Prozess stürzte aufgrund des maximal Laufzeit und Reaktionszeit Tags ab, so kam es, dass nach den 8 Kopien einige Dateien nicht erkannt wurden. Zum Schluss kann ich dazu sagen, dass im Fall der Fälle auf jeden, Schadende hätte hineingeschmuggelt werden können. Neben den Problemen bei dem Anti-Viren Programm gab es natürlich Probleme mit anderen Programmen. So viel das Dateisystemübersichtstool aus und die Bildschirmaufnahme stockte. Ein weitere Problem war hierbei der RAM, denn das Anti-Viren Programm holte sich zwar immer wieder ein RAM Dump, doch das brachte auch nichts, denn weil der RAM so voll war, gab es sogar Probleme beim Auslesen des Dumps. Du kannst das Experiment mit dem Mining Tool nachmachen.

 Mehr Infos zu Problemen mit dem RAM findest du hier.

https://www.kktvcam.com/hoempage/help/ram-dump-verhinden-am-beispiel-des-datums-bug/

Kommentar schreiben

Kommentare: 0


KONTAKT

Hinweis: Bitte die mit * gekennzeichneten Felder ausfüllen.


Hey! Thats me!

Severin Kämpfer Bremgarten bei Bern

Persönliche Webseite:

https://www.severin-kaempfer.ch


*: Bedeutet, dass KKTVCAM das Produkt/die Seite getestet hat und nun Affiliate der betreffenden Firma ist.

Made with ♥ in Bern (Switzerland)!

KKTVCAM ÜBERNIMMT KEINE HAFTUNG FÜR ALLE ANGABEN AUF DIESER SEITE.