среда, 15 августа 2012 г.

Из оперативной памяти выключенного ПК еще можно достать пароли!

Вроде ничего сверхестественного, но решил перепостить статейку.

   Исследователи из Греции обнаружили неожиданную брешь в защите компьютеров. После выключения системы с них еще можно получить содержимое оперативной памяти в течение достаточно долгого времени!
   Христос Георгиадис (Christos Georgiadis) из Университета Македонии в Салониках и его коллеги Ставрула Карайианни (Stavroula Karayianni) и Василиос Катос (Vasilios Katos) из Фракийского университета имени Демокрита в Ксанти показали (файл PDF), как их открытие может быть использовано специалистами в области информации и криминалистики для получения улик из компьютеров, а также использованы преступниками для получения персональных данных и банковских реквизитов.
   Исследователи отмечают, что большинство пользователей полагают, что после отключения их компьютера все данные, хранящиеся в оперативной памяти (RAM) пропадают. Действительно, RAM является энергозависимой памятью, и при прекращении подачи питания информация исчезает. Тем не менее, Георгиадис и его коллеги доказали, что данные, хранящиеся в оперативной памяти не утрачиваются, если компьютер выключен, но по прежнему подключен к сети электроснабжения. А так как пароли являются часто используемой информацией приложениями, то они с очень большой долей вероятности продолжают хранится в памяти в незашифрованном виде.
   Команда исследователей провела успешные снятия дампов памяти с компьютеров через 5, 15 и 60 минут после их выключения. А затем из дампа легко извлекла пароли к Gmail, Facebook, Hotmail и WinRar.
   Так что выключайте свои ПК полностью (из розетки), если храните что-то действительно ценное.

Источник - www.apploidnews.com

10 комментариев:

  1. Они бы ещё написали как снимают дампы памяти с выключенного компьютера.
    И насколько это реально снять с чужого компьютера в чужом офисе?

    ОтветитьУдалить
  2. я думаю, что это реально при возможности непосредственного физического доступа к памяти.

    ОтветитьУдалить
  3. Как?
    Если загрузите другую ОС - память сотрётся.
    Достанете планку - память сбросится.

    ОтветитьУдалить
  4. Как я понимаю, исследователи не загружали другую ОС и, тем более, не доставали планку, а делали замеры на лабораторном стенде в виде выключенного ПК (но при этом не выключенном из розетки). В полевом режиме я тоже не представляю как можно это сделать.

    ОтветитьУдалить
  5. все вышеописанное основано на эффекте затухания заряда в схемах ячеек памяти. Т.е. сброс памяти происходит не мгновенно после выключения питания, а постепенно в течении некоторого времени.
    Если обдуть платы памяти из болончика со сжатым воздухом (опустить температуру планок), то время жизни заряда в планке можно продлить до часа.

    собственно отключение ПК от розетки тут сильно не поможет (если маскишоу уже стучатся в дверь :))

    тема эта уже достаточно изучена http://ru.wikipedia.org/wiki/Cold_boot_attack
    http://www.youtube.com/watch?gl=RU&hl=ru&v=JDaicPIgn9U

    ОтветитьУдалить
  6. Здесь речь идет не о физике эффекта, этот эффект изучен достаточно давно, а о том, как физически осуществить доступ к этим ячейкам для получения дампов, когда компьютер находится в офисе? Кстати, Артем, у меня не открывается ваша ссылка.

    ОтветитьУдалить
    Ответы
    1. одна ссылка на википедию, другая на ютюб. должно работать.

      доступ получить просто: обработать платы памяти баллончиком со сжатым воздухом, переставить в свой ПК и загрузить спец.ПО.

      Удалить
  7. На видео они используют утилиту ram2usb, которая не опубликована.

    Но вот у этих ребят опубликован загрузочный образ, который можно записать на USB и загрузится с него http://www.mcgrewsecurity.com/tools/msramdmp/
    Как я понял часть памяти всётаки потеряется, но остальное можно сохранить.

    ОтветитьУдалить
    Ответы
    1. спец. софт не нужен. подойдет обычный дампер памяти + поиск по паттернам.

      Кандидатские диссертации пишут как раз таки про алгоритмы восстановления содержимого памяти, т.к. память затухает в предсказуемом порядке.

      Удалить
  8. Я не могу достаточно отблагодарить г-на Бенджамина за его услуги и рассказать людям, как я благодарен за всю помощь, которую вы и сотрудники вашей команды оказали, и я с нетерпением жду возможности порекомендовать друзей и семью, если им понадобится финансовый совет или помощь @ 1,9% Ставка за Бизнес-кредит. Через контакт:. 247officedept@gmail.com. WhatsApp ... + 19893943740. Продолжайте в том же духе.
    Спасибо, Бусаракхам.

    ОтветитьУдалить