it-swarm-eu.dev

Recuperare i contenuti precedenti di RAM da un PC spento?

Ho sentito che se il tuo PC è spento, un utente malintenzionato può recuperare il RAM dell'ultima sessione. Lo trovo difficile da credere. Come si può fare?

28
wisdom

C'è un elemento di verità in questo - è stato scoperto un attacco che ha approfittato della rimanenza dei dati nella RAM, consentendo a un utente malintenzionato di catturare dati dal RAM in una macchina. lasso di tempo (una questione di secondi o minuti) in cui farlo, ma non è stato un hack del PC in quanto tale.

Semplice link di Wikipedia a Cold Boot Attack qui

E il link McGrew qui fornisce maggiori dettagli

32
Rory Alsop

Sì, ma il termine "spento" può essere fonte di confusione.

Un computer richiede alimentazione per funzionare, questo lo sai. Un PC è alimentato dalla parete in corrente alternata (corrente alternata) ma le parti del computer richiedono DC (corrente continua). All'interno del PC desktop è presente un alimentatore che converte la corrente alternata in corrente continua. il PC desktop è collegato al muro e riceve sempre l'alimentazione CA.

All'inizio un PC aveva un alimentatore "AT" con un interruttore sulla parte anteriore. L'alimentatore di tipo "AT" aveva un interruttore a pulsante che interrompeva l'alimentazione DC. Il problema era che gli utenti spegnevano il computer mentre scriveva sul disco rigido. l'alimentazione durante la scrittura del disco rigido causerebbe il danneggiamento del disco rigido.

Quindi, la successiva iterazione del design del PC aveva un ATX alimentatore. In questo design l'alimentatore collegato alla scheda madre e l'interruttore sulla parte anteriore del PC era collegato alla scheda madre. Per la ATX il design che spinge l'interruttore off invia un segnale alla scheda madre, il sistema operativo legge il segnale sulla scheda madre e invia un segnale all'alimentazione.

L'alimentatore ha più DC. Il disco rigido (e il floppy) utilizzava 12 Volt. La CPU impiegava 5 Volt e successivamente 3,3 Volt. Le diverse tensioni sono indipendenti, quindi diverse parti del computer può essere disattivato mentre altre parti sono accese.

Quando si preme il pulsante di accensione sul pannello frontale del PC o si seleziona lo spegnimento dal sistema operativo, ci sono sempre almeno uno o due componenti alimentati. Almeno il circuito sulla scheda madre che riceve il segnale del pulsante di accensione e lo inoltra all'alimentazione deve essere alimentato ed è fintanto che il PC è collegato alla parete.

Il componente in questione è RAM (in realtà DRAM), e non è facile dire se il potere a RAM è spento o quale metodo di il computer spento interromperà l'alimentazione della RAM.

L'unico modo per essere assolutamente sicuri che non vi sia alimentazione al RAM è di scollegare il PC dal muro.

Fintanto che l'alimentazione viene fornita al RAM il RAM manterrà il contenuto dell'ultimo contenuto in esso.

Quando RAM viene rimosso dal potere i contenuti iniziano a decadere e ad un certo punto diventano illeggibili. La temperatura ha un impatto su quanto velocemente i dati nel RAM decade. Abbassare la temperatura rallenterà il decadimento dei dati: un semplice spolverino "aria compressa" capovolto consentirà a un utente malintenzionato di raffreddare il RAM fino a una temperatura che gli consente di riavviare la macchina con un sistema operativo personalizzato progettato per estrarre il contenuto della RAM.

Questo attacco richiede solo un CD/DVD o un'unità flash USB avviabile e uno spolverino per aria compressa.

9
this.josh

Il RAM in un PC è DRAM : ogni bit è memorizzato in ciò che equivale a un condensatore molto piccolo, che perde. Questo è il motivo per cui la DRAM deve essere "aggiornata" regolarmente: è garantito che la DRAM tipica mantenga un determinato bit per almeno 64 ms, ma, in pratica, un determinato bit può rimanere per periodi più lunghi, fino a diversi minuti, a seconda della temperatura.

Vedi in fondo alla pagina di Wikipedia per i dettagli.

Inoltre, molte macchine (desktop e laptop) hanno una "modalità sleep" in cui la CPU è spenta ma il RAM è ancora alimentato; questa è la modalità da cui la macchina può essere "risvegliata" senza passare attraverso l'intera procedura di avvio. Sembra che i veri arresti siano diventati una rarità al giorno d'oggi. In tale modalità, RAM sono, per definizione, conservati, prolungando così i "diversi minuti" sopra a durate arbitrarie.

8
Tom Leek

Vorrei suggerire di guardare questi due articoli. Sono abbastanza tecnici ma spiegano molto a basso livello.

  1. Peter Gutmann, Remanence dei dati nei dispositivi a semiconduttore
  2. Peter Gutmann, Cancellazione sicura dei dati dalla memoria magnetica e allo stato solido

Se stai cercando anche una contromisura, suggerirei

  1. TRESOR esegue la crittografia in modo sicuro all'esterno della RAM
3
ArekBulski

Ho eseguito personalmente il Cold Boot Attack prima, sicuramente funziona. Mi riferivo principalmente al Princeton coldboot paper e al McGrew link

Ho usato ghiaccio secco, attenzione alla condensa (usare il fazzoletto per pulire) poiché il RAM è più freddo dell'aria circostante. L'intervallo di tempo in cui tirare e collegare il RAM è di circa 5-15 secondi.

2
John