Recupera i contenuti precedenti della RAM da un PC spento?

26

Ho sentito che se il PC è spento, un utente malintenzionato può recuperare la RAM dall'ultima sessione. Lo trovo difficile da credere. Come potrebbe essere fatto?

    
posta wisdom 13.01.2012 - 13:50
fonte

5 risposte

31

C'è un elemento di verità in questo - è stato scoperto un attacco che ha approfittato della permanenza dei dati nella RAM, consentendo a un utente malintenzionato di catturare i dati dalla RAM in una macchina. C'è stato un lasso di tempo molto breve (una questione di secondi o minuti) in cui farlo, ma non era un hack del PC in quanto tale.

Collegamento semplice di Wikipedia a Attacco di avvio a freddo qui

E il link di McGrew qui fornisce maggiori dettagli

    
risposta data 13.01.2012 - 14:00
fonte
9

Sì, ma il termine "disattivato" potrebbe essere fonte di confusione.

Un computer richiede energia per funzionare, questo lo sai. Un PC è alimentato dalla parete in CA (corrente alternata) ma le parti del computer richiedono DC (Dirrect Current). All'interno del PC desktop è presente un'unità di alimentazione che converte CA in CC. Finché il PC desktop è collegato al muro, riceve sempre l'alimentazione CA.

All'inizio un PC aveva un alimentatore "AT" con un interruttore sul davanti. L'alimentatore di tipo "AT" aveva un interruttore a pulsante che interrompeva la corrente continua. Il problema con questo era che gli utenti avrebbero spento il computer mentre stava scrivendo sul disco rigido. Spegnere l'alimentazione durante la scrittura del disco rigido causerebbe il danneggiamento del disco rigido.

Quindi, il prossimo iterazione del design del PC aveva un alimentatore ATX. In questo design l'alimentatore collegato alla scheda madre e l'interruttore sulla parte anteriore del PC è stato collegato alla scheda madre. Per il design ATX che spinge l'interruttore di spegnimento invia un segnale alla scheda madre, il sistema operativo legge il segnale sulla scheda madre e invia un segnale all'alimentatore.

L'alimentatore ha più uscite CC. Il disco rigido (e il dischetto) utilizzava 12 volt. La CPU ha preso 5 Volt e in seguito 3,3 Volt. Le diverse tensioni sono indipendenti, quindi è possibile cambiare diverse parti del computer mentre altre parti sono accese.

Quando si preme il pulsante di accensione sul lato anteriore del PC o si seleziona lo spegnimento dal sistema operativo, ci sono sempre almeno uno o due componenti alimentati. Almeno il circuito sulla scheda madre che riceve il segnale del pulsante di alimentazione e lo trasmette alla rete elettrica deve essere alimentato ed è lungo quanto il PC è collegato alla parete.

Il componente in questione è la RAM (in realtà DRAM), e non è facile capire se l'alimentazione della RAM è disattivata o quale metodo di spegnimento del computer interrompe l'alimentazione alla RAM.

L'unico modo per essere assolutamente sicuri che non ci sia alimentazione alla RAM è scollegare il PC dal muro.

Finché viene fornita energia alla RAM, la RAM manterrà il contenuto di qualsiasi cosa ci sia l'ultima volta.

Quando la RAM viene rimossa dal potere, i conenti iniziano a decadere e ad un certo punto diventano illeggibili. La temperatura ha un impatto sulla velocità con cui i dati nella RAM decadono. Abbassando la temperatura si rallenta il decadimento dei dati. Un semplice spolverino a "aria compressa" capovolto consentirà a un aggressore di raffreddare la RAM fino a una temperatura che consenta loro di riavviare la macchina con un sistema operativo personalizzato progettato per estrarre il contenuto della RAM.

Questo attacco richiede solo un CD / DVD avviabile o un'unità flash USB e uno spolverino d'aria in scatola.

    
risposta data 15.01.2012 - 06:11
fonte
8

La RAM in un PC è DRAM : ogni bit è memorizzato in ciò che equivale a un condensatore molto piccolo, quali perdite. Ecco perché la DRAM deve essere "aggiornata" regolarmente. La tipica DRAM è garantita per contenere un dato bit per almeno 64 ms, ma, in pratica, un dato bit può rimanere per periodi più lunghi, fino a diversi minuti, in base in particolare alla temperatura.

Vedi il parte inferiore della pagina di Wikipedia per i dettagli.

Inoltre, molte macchine (desktop e portatili) hanno una "modalità sleep" in cui la CPU è spenta ma la RAM è ancora alimentata; questa è la modalità da cui la macchina può essere "risvegliata" senza passare attraverso l'intera procedura di avvio. Sembra che i veri arresti siano diventati una rarità al giorno d'oggi. In tale modalità, i contenuti della RAM sono, per definizione, preservati, estendendo quindi i "diversi minuti" sopra alle durate arbitrarie.

    
risposta data 13.01.2012 - 14:06
fonte
3

Suggerirei di dare un'occhiata a questi due articoli. Sono abbastanza tecnici ma spiegano molto a basso livello.

  1. Peter Gutmann, Remanence dei dati nei dispositivi a semiconduttore
  2. Peter Gutmann, cancellazione sicura dei dati da magnetici e solidi -State Memory

Se stai cercando anche una contromisura, ti suggerirei

  1. TRESOR esegue la crittografia RAM esterna sicura
risposta data 23.04.2015 - 20:37
fonte
2

Ho eseguito personalmente il Cold Boot Attack prima, funziona sicuramente. Mi sono riferito principalmente all'effettivo giornale a freddo di Princeton così come < a href="http://mcgrewsecurity.com/oldsite/tools/msramdmp/"> link di McGrew

Ho usato il ghiaccio secco, attento alla condensa (usa il tessuto per pulire) poiché la RAM è più fredda dell'aria circostante. Il periodo di tempo in cui tirare e collegare la RAM è di circa 5-15 secondi.

    
risposta data 20.05.2016 - 09:31
fonte

Leggi altre domande sui tag