Метод заснований на здатності оперативної пам'яті (DRAM) якийсь час
зберігати інформацію після відключення живлення і відсутності імпульсів регенерації
її вмісту. Практично всі знають, що пам'ять втрачає всю інформацію
при виключенні живлення. Однак це не зовсім так. Дослідження показали, що
DRAM без харчування може зберігати інформацію від
декількох секунд до декількох хвилин. Це дає можливість зломщикові прочитати
її вміст просто вимкнувши і включивши комп'ютер і потім запустивши власну
операційну систему.
Цікаво, що чим нижче температура, тим довше зберігаються дані, наприклад,
висмикнувши чіп і помістивши його в рідкий азот (-196 градусів C), дані вдалося
вважати через кілька годин. При температурі -50 градусів, дані зберігаються
більше 10 хвилин. У звичайних умовах, після припинення регенерації, DRAM пам'ять
зберігає свій вміст від декількох секунд до декількох хвилин.
Результати дослідження показали, що перезагрузив комп'ютер і завантажившись з
флешки або просто отримавши чіп пам'яті з працювала машини, серед вмісту
пам'яті неважко виявити ключі шифрування таких систем як BitLocker, FileVault,
dm-crypt і TrueCrypt, іншу конфіденційну інформацію.
Поставити експеримент на власному комп'ютері досить неважко для
кожного.
1. Створюємо програму на Python яка забиває
пам'ять словом "ARGON".
#! / Usr / bin / env python
# A pirate's favorite chemical element
a = ""
while 1: a + = "ARGON"
2. Запускаємо sync для скидання будь-яких кешованих
даних на диск.
3. Запускаємо створену в першому пункті програму і даємо їй попрацювати
кілька хвилин. Вона нічого не виводить, але за активністю диска буде видно, що
пам'ять заповнюється даними які і свап на диск.
4. Безтурботно упускає систему просто вимикаючи живлення і потім включаємо знову.
5. Після перезавантаження шукаємо слово "ARGON" в пам'яті. Наприклад так:
sudo strings / dev / mem | less
Якщо ви побачите копію рядка, значить будь-яка частина пам'яті вижила при
перезавантаження. Якщо ж даних в пам'яті не виявлено, то можливо кілька
варіантів варіанти: в комп'ютері стоїть ECC (error-correcting) RAM і вона
очищається при завантаженні; BIOS з яких-небудь дргім
причин очищає пам'ять при завантаженні (можна вимкне тест пам'яті або включити
режим Quick Boot); час простою без енергії було занадто велике для даної
температури, спробуйте охолодити пам'ять або зменшити час перезавантаження.
Покажи цю статтю друзям: