Оказывается, данные из RAM не всегда сразу очищаются

Обсуждения проблем с железом. Полезные советы по теме.


Модератор: UncleFather

Аватара пользователя
UncleFather
Site Admin
Сообщения: 1503
Зарегистрирован: 17 авг 2004 16:20, Вт
Контактная информация:

Оказывается, данные из RAM не всегда сразу очищаются

Сообщение UncleFather »

Интересно:

Все мы знаем, что при перезагрузке оперативная память очищается (сбрасывается), однако, если охладить модуль ОЗУ (RAM), то это значительно увеличит время хранения информации в этом модуле. А значит, такой модуль памяти можно извлечь из устройства, и считать из него все данные.

В том числе, например ключ шифрования BitLocker, что в свою очередь позволит получить доступ злоумышленнику ко всем файлам, зашифрованным при помощи этой утилиты.

Как от этого застраховаться?

Нужно не оставлять компьютер включенным - либо выключайте его, либо вводите в режим гибернации. Эти операции очищают оперативную память, и при включении, нужно будет снова вводить пароль шифрования BitLocker вручную.

Нужно ли этого опасаться?

Скорее всего, злоумышленник попытается получить пароль к вашим зашифрованным файлам каким-либо другим, более простым, способом. Навряд-ли кто-то будет заморачиваться этим довольно-таки сложно реализуемым способом извлечения паролей.

Этот способ представляет скорее теоретический, чем практический интерес.

По материалам статьи HTG Explains: How Encryption Can Be Bypassed With a Freezer

В тему:

Процитирую статью Получение паролей из оперативной памяти выключенного компьютера

Эксперты-криминалисты Stavroula Karayianni и Vasilios Katos из отдела информационной безопасности «Information Security and Incident Response Unit» совместно с Christos K. Georgiadis, бакалавром в области математики и помощником профессора при «University of Macedonia – Department of Applied Informatics» опубликовали интереснейшие исследование в котором наглядно показали возможность получения информации из оперативной памяти выключенного компьютера, но не отсоединённого от сети электропитания. Авторы напоминают, что восстановление информации из ОЗУ часто применяется в современной криминалистике, потому что в ОЗУ можно найти фрагменты реестра, ключи шифрования и другие ценные данные, но при этом эксперты работают только с включенным компьютером. Однако, необходимо осуществлять процедуру копирования ОЗУ при опечатывании не только включенных компьютеров, но и выключенных, считают авторы научной работы. Опечатывание RAM для дальнейшего восстановления данных можно осуществить методом заморозки. Причина в том, что из-за конструктивных ограничений современных модулей памяти RAM, биты данных можно восстановить в течение нескольких минут после отключения компьютера.

Любопытно, что информацию из оперативной памяти сложнее восстановить, если компьютер остался включённым и продолжает работать. В этом случае важные участки ОЗУ могут быть перезаписаны новыми данными, и тогда нужная информация с большей степенью вероятности будет потеряна . Поэтому конфискованный компьютер нельзя загружать, пока память не будет скопирована. Для этого нужно использовать специально подготовленный liveCD.

С помощью описанного метода исследователи проверили, какова вероятность восстановления из памяти выключенного компьютера паролей от Facebook, Skype, Gmail и MSN при условии, что компьютер выключается сразу после закрытия программы, через 5 минут, через 15 минут и через 60 минут.

01.jpg
02.jpg

Основную роль в медленном угасании сигнала играют схемы питания, в которых присутствует значительная ёмкостная составляющая. Christos K. Georgiadis подчёркивает, что в компьютерах и особенно мобильной технике под «выключенным» состоянием редко подразумевается полное обесточивание. Как правило, речь идёт о переходе в один из режимов пониженного энергопотребления, в котором полного прекращения питания всех компонентов не происходит. Подводя итоги, авторы исследования резюмируют — только физическое прерывание цепи или извлечение коннектора питания материнской платы или самих модулей ОЗУ из слотов приводит к довольно быстрой очистке RAM.


P.S. В публикациях Принстонского университета упоминается техника атаки под названием «cold boot» из 17th USENIX Security Symposium (Sec ’08), San Jose, CA, July 2008. Согласно обнародованной методике, быстрое охлаждение модулей памяти RAM сразу после их извлечения позволяет «законсервировать» содержащиеся в них данные на срок до нескольких минут, что хорошо видно на иллюстрации.

03.jpg

После 5 секунд (слева), изображение будет невозможно отличить от оригинала. Изображение постепенно становится более низким, как показано после 30 секунд, 60 секунд и 5 минут.


Alexander A. Manaeff©

Понравилась статья? Будем крайне признательны за репосты в соцсетях! Материально поддержать проект можно здесь

Мои странички:
ВКонтакте
Одноклассники
Youtube
Facebook
Instagram

Изображение
Изображение
Изображение
Изображение