La data-remanence è un problema nella RAM?

5

So che la perdita dei dati è una preoccupazione per i dischi rigidi, ma è una preoccupazione per la RAM? Ad esempio, una volta completato il programma, i suoi dati sono ancora disponibili sulla RAM, proprio come i dati su un disco rigido rimangono dopo essere stati cancellati?

Modifica: In questo caso, non sono così preoccupato per i dati che potrebbero rimanere dopo la chiusura del computer. Sto inoltre pensando a una situazione in cui un hacker compromette un sistema che è ancora in esecuzione ed è in grado di accedere alla memoria. I dati rimangono nella RAM molto tempo dopo che il programma che lo stava usando è stato terminato?

    
posta Jonathan 04.12.2014 - 18:07
fonte

1 risposta

11

Può essere.

In generale, i programmi durante l'esecuzione non tendono a cancellare i dati (dopotutto tendono a averne bisogno), e qualsiasi processo con la possibilità di accedere alla RAM allocata di altri programmi può, infatti, leggere esso. Questo è il modo in cui, ad esempio, la recente ondata di hacker di grandi box è stata in grado di trapelare così tanti dati di carte di credito: gli attacchi venivano portati avanti da programmi canaglia che perlustravano la RAM della macchina POS in esecuzione e copiavano tutto ciò che assomigliava ai dati delle carte. [Al momento non riesco a trovare una fonte per eseguire il backup di questo, continuerò a cercare e modificarlo in seguito.]

Una volta che un programma termina, i dati che erano nella sua RAM possono rimanere indefinitamente se nessun altro processo viene allocato quegli stessi indirizzi e lo sovrascrive con i propri dati. Sui moderni sistemi operativi questo richiede di nuovo la capacità di leggere la RAM non allocata al processo facendo la lettura 1 , e anche allora è inaffidabile al massimo, specialmente sui sistemi moderni che fanno costantemente ogni genere di cose.

Entrambi possono essere mitigati, se non preventivamente evitati, non consentendo mai ai processi non attendibili di funzionare con privilegi di root / amministratore: gli utenti limitati semplicemente non hanno la possibilità, con i buchi nel modello di sicurezza del sistema operativo, di accedere a questa RAM.

E, naturalmente, c'è il nostro buon amico " attacco di avvio a freddo ", in cui vengono letti i codici di crittografia, ecc. da RAM dopo che la macchina è stata spenta . Ciò richiede l'accesso fisico alla macchina, un disco di avvio (o hardware specializzato) e tempi rapidi (dato che i dati rimangono residenti nella RAM solo per un breve periodo dopo lo spegnimento).

Come nota rapida, i rischi di restituzione dei dati su hard disk sono piuttosto esagerati : una volta che i dati sono stati sovrascritti, non c'è più. Ad esempio, il "metodo 35-passi di Gutmann" non è solo un fondamentale fraintendimento della ricerca del Dr. Gutmann, ma del tutto inutile - un singolo passaggio con qualsiasi dato - uno, zero, rumore casuale, immagini del gattino - è tutto ciò che è veramente necessario. Tuttavia, se non viene sovrascritto, se è semplicemente cancellato, si blocca comunque. Anche il tempo di permanenza dei dati sulla RAM è un rischio spesso sovrastimato, anche se, proprio come i dischi rigidi, può perdere informazioni se non stai attento.

1 Il motivo è che i moderni sistemi operativi impiegano il tempo necessario a cancellare la RAM prima di allocarla a un nuovo processo, in particolare per evitare la perdita di dati potenzialmente sensibili ai processi che si avviano e quindi non inizializzati dati (che in passato è il modo in cui tali perdite sono state effettuate).

    
risposta data 04.12.2014 - 18:30
fonte

Leggi altre domande sui tag