Получение паролей из оперативной памяти выключенного компьютера

Эксперты-криминалисты Stavroula Karayianni и Vasilios Katos из отдела информационной безопасности «Information Security and Incident Response Unit» совместно с Christos K. Georgiadis, бакалавром в области математики и помощником профессора при «University of Macedonia – Department of Applied Informatics» опубликовали интереснейшие исследование в котором наглядно показали возможность получения информации из оперативной памяти выключенного компьютера, но не отсоединённого от сети электропитания. Авторы напоминают, что восстановление информации из ОЗУ часто применяется в современной криминалистике, потому что в ОЗУ можно найти фрагменты реестра, ключи шифрования и другие ценные данные, но при этом эксперты работают только с включенным компьютером. Однако, необходимо осуществлять процедуру копирования ОЗУ при опечатывании не только включенных компьютеров, но и выключенных, считают авторы научной работы. Опечатывание RAM для дальнейшего восстановления данных можно осуществить методом заморозки. Причина в том, что из-за конструктивных ограничений современных модулей памяти RAM, биты данных можно восстановить в течение нескольких минут после отключения компьютера.

Любопытно, что информацию из оперативной памяти сложнее восстановить, если компьютер остался включённым и продолжает работать. В этом случае важные участки ОЗУ могут быть перезаписаны новыми данными, и тогда нужная информация с большей степенью вероятности будет потеряна . Поэтому конфискованный компьютер нельзя загружать, пока память не будет скопирована. Для этого нужно использовать специально подготовленный liveCD.

С помощью описанного метода исследователи проверили, какова вероятность восстановления из памяти выключенного компьютера паролей от Facebook, Skype, Gmail и MSN при условии, что компьютер выключается сразу после закрытия программы, через 5 минут, через 15 минут и через 60 минут.

Основную роль в медленном угасании сигнала играют схемы питания, в которых присутствует значительная ёмкостная составляющая. Christos K. Georgiadis подчёркивает, что в компьютерах и особенно мобильной технике под «выключенным» состоянием редко подразумевается полное обесточивание. Как правило, речь идёт о переходе в один из режимов пониженного энергопотребления, в котором полного прекращения питания всех компонентов не происходит. Подводя итоги, авторы исследования резюмируют — только физическое прерывание цепи или извлечение коннектора питания материнской платы или самих модулей ОЗУ из слотов приводит к довольно быстрой очистке RAM.

P.S. В публикациях Принстонского университета упоминается техника атаки под названием «cold boot» из 17th USENIX Security Symposium (Sec ’08), San Jose, CA, July 2008. Согласно обнародованной методике, быстрое охлаждение модулей памяти RAM сразу после их извлечения позволяет «законсервировать» содержащиеся в них данные на срок до нескольких минут, что хорошо видно на иллюстрации.

После 5 секунд (слева), изображение будет невозможно отличить от оригинала. Изображение постепенно становится более низким, как показано после 30 секунд, 60 секунд и 5 минут.

Related posts

Дискуссия

Оставьте первый комментарий!

avatar
wpDiscuz