È possibile che la RAM conservi i dati dopo che l'alimentazione è stata rimossa? Non intendo in pochi minuti come avvio a freddo Attacchi ma piuttosto 24 ore più.
Lavorando con i sistemi classificati, la politica sembra sempre considerare la RAM uguale ai dischi e deve essere rimossa e smaltita secondo la classificazione.
È un mito che è diventato una pratica standard o esiste davvero un rischio per la sicurezza dei dati?
Sto assumendo regolari progetti di RAM per PC negli ultimi 20 anni.
Questo articolo 2013 analizza i tempi di conservazione per diversi chip DRAM. Tra le informazioni pertinenti, è possibile elencare quanto segue:
Il tempo di conservazione dipende da un lotto di cose, inclusi i valori dei bit adiacenti. Un bit DRAM è un potenziale pozzo, e perde il suo contenuto spostando le cariche da o verso le aree vicine, quindi se c'è spazio in questi problemi con i vicini.
La temperatura è molto importante per il tempo di ritenzione (motivo per cui gli attacchi cold-boot insistono su cold : se si immerge la macchina in azoto liquido, è possibile mantenere le cariche in atto sostanzialmente più a lungo).
A temperatura ambiente, il tempo di ritenzione tipico viene contato in millisecondi, al massimo qualche secondo, e, cosa più importante, la scarica è di natura esponenziale (va in e - Ct per alcuni costanti C ), come ci si potrebbe aspettare (i condensatori funzionano anche in quel modo). Quindi la carica rimanente dopo 2 minuti sarà la metà di quella dopo 1 minuto; dopo 10 minuti si scende a un millesimo della carica iniziale; dopo 20 minuti, un milionesimo; dopo 30 minuti, un miliardesimo.
Per riassumere: 24 ore ... dimenticalo. Non troverai dati significativi nella DRAM che sono stati tenuti non alimentati, a temperatura ambiente, dopo 24 ore (anche se la stanza è, per esempio, in Canada).
Questo è per DRAM , dove un bit memorizzato può essere immaginato come un condensatore caricato. Questo è il tipo di RAM che si trova comunemente nel PC negli ultimi 20 anni.
Esiste anche SRAM , dove ogni bit è memorizzato come lo stato corrente di un circuito bistabile che consiste in 6 transistor. SRAM è sostanzialmente più veloce della DRAM; è anche molto più costoso. In PC, SRAM viene utilizzato per la cache (di solito integrato nella CPU). Senza alimentazione, SRAM perde ogni traccia del suo contenuto entro microsecondi.
Ci sono alcune storie sui bit che vengono "bruciati" nella RAM quando lo stesso valore viene memorizzato per un lungo periodo di tempo in una specifica postazione di un chip. Per quanto ne so, queste storie sono esattamente queste: storie. Provengono dal "pensiero per analogia", da persone che pensano alla RAM nello stesso modo in cui pensano ai display CRT (che potrebbero avere effetti "burn-in", da qui lo sviluppo di "screensaver"). Non sono a conoscenza di casi in cui tali storie siano mai state dimostrate.
Ma le paure e i dubbi sono forze potenti che non possono essere sempre dissipate dalla logica più strong.
Esistono meccanismi che potrebbero comportare la rimanenza dei dati nella DRAM oltre la carica memorizzata nelle porte (che in genere è esaurita in secondi, specialmente a temperature operative elevate normali). Uno è il movimento di contaminanti ionici che possono causare leggeri cambiamenti nelle soglie. Questo potrebbe essere il 'burn in' a cui si riferisce la risposta di Tom. Potrebbe non esserci alcun modo pratico per recuperare i dati, ma non penso che possiamo liquidare la possibilità in modo casuale.
C'è un articolo su di esso qui . Restrimento dei dati nei dispositivi a semiconduttore Peter Gutmann Centro di ricerca IBM T.J.Watson
In teoria qualsiasi dispositivo può memorizzare qualsiasi cosa, perché è stato progettato per soddisfare un'interfaccia, non specificata per la sua implementazione. Realisticamente parlando, la risposta è più oscura. Questo, a proposito, è il punto in cui gli SSD diventano così interessanti perché non esiste un modo accettato per dire a un SSD SATA di "cancellare tutto" (modifica: non è affidabile in alcun modo, almeno)
Da quanto ho capito, con qualsiasi hardware classificato, uno ha "istruzioni di declassificazione" per declassificare l'hardware dopo che non è più necessario. Questi di solito si presentano sotto forma di una lettera del venditore che indica quali operazioni devono essere eseguite prima che il fornitore consideri i dati irrecuperabili. Per molti dispositivi, questo si presenta sotto forma di "scollegare l'alimentazione per X secondi", indicando il periodo di tempo in cui il governo ritiene che la memoria sia abbastanza volatile da garantire una gestione speciale. Per molto tempo, il processo per gli harddrive è stato quello di eseguire una serie particolare di wipes, ma il processo è stato così brutale che pochi hard disk sono sopravvissuti, quindi sono stati spesso distrutti.
Una ragione per cui si può scegliere di distruggere l'hardware piuttosto che declassificarlo è se il costo di acquisizione di quelle lettere dal venditore è troppo grande rispetto al valore del prodotto. Se la quantità di RAM di una server farm è prevista per un valore di soli $ 1000 dopo l'ammortamento, potrebbe essere più economico buttarla nella cippatrice quando hai finito.
Dettaglio finale: quanto è prezioso il tuo prodotto? Se vale solo $ 10 milioni di dollari, scoprirai di scollegare il ram a temperatura ambiente per un minuto o due in più del necessario. Se ha un valore di diverse centinaia di miliardi, puoi prendere in considerazione il cippatore di legno. Se è al di là del costo monetario, beh, è il tuo modello di minaccia. Fai come ritieni opportuno.
No. Anche se il Regno Unito può essere diverso, gli Stati Uniti sembrano stare bene con la semplice rimozione dell'alimentazione per sanificare la RAM nei sistemi classificati. Il manuale della politica NSA / CSS 9-12 afferma:
Sanitize DRAM (dynamic random-access memory), SRAM (static random-access memory), and Volatile FPGA by removing the power, including backup batteries. Once power is removed, sanitization is instantaneous.
Controlla la sezione Memoria allo stato solido qui .
In teoria i dati possono essere recuperati come singole probabilità di bit (cioè il 62% 1) misurando il tempo necessario a un dato bit per passare alla logica 0 senza aggiornamento. Ciò era fattibile fino a circa 256MB di RAM, ma le nuove geometrie sono così piccole (< 50nm) che il numero di elettroni rende questo non fattibile. L'unico uso sarebbe il recupero delle chiavi di crittografia parziale prima della bruteforcing per ridurre lo spazio delle chiavi, cioè il 50% di una chiave RSA a 2048 bit con ragionevole affidabilità ridurrebbe il tempo necessario per interromperlo di alcuni anni. Nota che questo richiede ancora un enorme colpo di fortuna, come spegnere immediatamente il sistema sotto attacco e reinizializzare la memoria a < -70C entro 5 minuti in una maschera di prova specialistica con circuiti analogici per rileggere i tempi sottili necessari.
Ho sentito di casi in cui i dati sono stati accidentalmente scritti sul chip SPD e poi cancellati, questi chip sono Flash a bassa densità e potenzialmente recuperabili con gli strumenti giusti anche se la stessa RAM è stata cancellata.
Odio aggiungere questo molto tempo dopo il fatto, ma è importante che le persone che lavorano in sicurezza considerino dopo aver letto i commenti sopra.
L'utente (WhatPlantsCrave) ha pubblicato buone informazioni su SRAM e volevo fornire ulteriori informazioni su dove si trova questa memoria e su un altro nome comune utilizzato dalla gente.
NVRAM o RAM non volatile (anche SRAM menzionata sopra) manterranno i dati fino a quando non verranno cancellati o scollegati dalla batteria. Le apparecchiature correlate alle apparecchiature quali switch, router, altre apparecchiature spesso utilizzano NVRAM per archiviare le configurazioni. Queste configurazioni avranno spesso le password (sia in chiaro che in hash). Nella maggior parte dei casi, gli amministratori possono e devono utilizzare livelli segreti per proteggere la password in un hash. Il problema può sorgere quando le apparecchiature più vecchie vengono donate o collocate nella spazzatura con la SRAM e la batteria interna intatte. Se una persona o un gruppo sono stati determinati abbastanza potrebbero potenzialmente ottenere la password o l'hash (eseguendo l'hash contro una tabella arcobaleno) e ottenere informazioni sufficienti per costituire una minaccia per l'organizzazione. Ci sono molti altri scenari, progetti e cose da considerare.
Il punto di questo post è quello di essere a conoscenza quando si eliminano vecchie apparecchiature e di considerare il potenziale di SRAM nel dispositivo.
Una RAM è un insieme di transistor e condensatori. I transistor sono utilizzati per amplificare i segnali elettrici, mentre i condensatori memorizzano correttamente i dati nel tempo. Le informazioni memorizzate da tali elementi sono volatili, il che significa che non possono essere disponibili dopo pochi (5 circa) minuti dopo che è stato spento.
Leggi altre domande sui tag hardware memory data-recovery