it-swarm-vi.com

Khôi phục nội dung trước của RAM từ PC bị tắt?

Tôi đã nghe nói rằng nếu PC của bạn bị tắt, thì kẻ tấn công có thể khôi phục RAM từ phiên trước. Tôi thấy điều này thật khó tin. Làm thế nào để thực hiện được?

28
wisdom

Có một yếu tố sự thật với điều này - một cuộc tấn công đã được phát hiện, lợi dụng sự phục hồi dữ liệu trong RAM, cho phép kẻ tấn công lấy dữ liệu từ RAM trong một máy. Có rất ngắn khung thời gian (chỉ mất vài giây hoặc vài phút) để thực hiện việc này, nhưng đó không phải là một bản hack của PC như vậy.

Liên kết Wikipedia đơn giản đến Cold Boot Attack tại đây

McGrew link tại đây cung cấp thêm chi tiết

32
Rory Alsop

Có, nhưng thuật ngữ 'tắt' có thể gây nhầm lẫn.

Một máy tính đòi hỏi sức mạnh để chạy, điều này bạn biết. Một PC được cấp nguồn từ tường trong AC (dòng điện xoay chiều) nhưng các bộ phận máy tính yêu cầu DC (Dirrect Current). Bên trong máy tính để bàn là một bộ cấp nguồn chuyển đổi AC thành DC. máy tính để bàn được cắm vào tường, nó luôn nhận được nguồn điện xoay chiều.

Trong những ngày đầu, PC có nguồn điện 'AT' với công tắc ở mặt trước. Bộ nguồn loại 'AT' có công tắc nút nhấn đã dừng nguồn DC. Vấn đề với điều này là người dùng sẽ tắt máy tính khi đang ghi vào ổ cứng. nguồn điện trong quá trình ghi ổ cứng sẽ khiến ổ cứng bị hỏng.

Vì vậy, lần lặp lại tiếp theo của thiết kế PC có nguồn cung cấp ATX. Trong thiết kế này, nguồn điện được kết nối với bo mạch chủ và công tắc ở mặt trước của PC đã được kết nối với bo mạch chủ. ATX thiết kế đẩy công tắc tắt gửi tín hiệu đến bo mạch chủ, Hệ điều hành đọc tín hiệu trên bo mạch chủ và gửi tín hiệu đến nguồn điện.

Bộ nguồn có nhiều đầu ra DC. Ổ cứng (và đĩa mềm) đã sử dụng 12 Vôn. CPU lấy 5 Vôn và sau 3,3 Vôn. Các điện áp khác nhau là độc lập, do đó các phần khác nhau của máy tính có thể được chuyển đổi trong khi các bộ phận khác được bật.

Khi bạn nhấn nút nguồn trên fron của PC hoặc chọn tắt từ Hệ điều hành, luôn có ít nhất một hoặc hai thành phần được cấp nguồn. Ít nhất là mạch trên bo mạch chủ nhận tín hiệu nút nguồn và chuyển tiếp nó đến nguồn điện phải được cấp nguồn và miễn là PC được cắm vào tường.

Thành phần trong câu hỏi là RAM (thực tế là DRAM) và không dễ để biết liệu nguồn điện cho RAM bị tắt hay phương thức quay nào máy tính tắt sẽ ngừng cung cấp năng lượng cho RAM.

Cách duy nhất để chắc chắn chắc chắn rằng không có nguồn cho RAM là ngắt kết nối PC khỏi tường.

Miễn là nguồn được cung cấp cho RAM thì RAM sẽ giữ lại nội dung của bất cứ thứ gì cuối cùng trong đó.

Khi RAM bị xóa khỏi nguồn, các con côn bắt đầu phân rã và đến một lúc nào đó không thể đọc được. Nhiệt độ có tác động đến việc dữ liệu trong RAM phân rã nhanh như thế nào. Việc hạ thấp nhiệt độ sẽ làm chậm sự phân rã của dữ liệu. Một máy hút bụi không khí đóng hộp đơn giản bị lật ngược sẽ cho phép kẻ tấn công hạ nhiệt RAM xuống nhiệt độ cho phép chúng khởi động lại máy bằng một hệ điều hành tùy chỉnh được thiết kế để trích xuất nội dung của RAM.

Cuộc tấn công này chỉ cần một đĩa CD/DVD hoặc USB Flash có thể khởi động và một máy hút bụi đóng hộp.

9
this.josh

RAM trong PC là DRAMA : mỗi bit được lưu trữ trong một lượng tương đương với một tụ điện rất nhỏ, bị rò rỉ. Đó là lý do tại sao DRAM phải được "làm mới" thường xuyên. DRAM điển hình được đảm bảo giữ một bit nhất định trong ít nhất 64 ms, nhưng, trong thực tế, một bit nhất định có thể tồn tại trong thời gian dài hơn, tối đa vài phút, tùy thuộc vào nhiệt độ.

Xem dưới cùng của trang Wikipedia để biết chi tiết.

Ngoài ra, nhiều máy (máy tính để bàn và máy tính xách tay) có "chế độ ngủ" trong đó CPU bị tắt nhưng RAM vẫn được cấp nguồn, đây là chế độ mà máy có thể được "đánh thức" mà không phải trải qua toàn bộ quy trình khởi động. Có vẻ như việc tắt máy thực sự đã trở nên hiếm hoi hiện nay. Ở chế độ như vậy, RAM, theo định nghĩa, được bảo tồn, do đó kéo dài "vài phút" ở trên để thời lượng tùy ý.

8
Tom Leek

Tôi sẽ đề nghị bạn nhìn vào hai bài viết này. Họ khá kỹ thuật nhưng giải thích rất nhiều ở cấp độ thấp.

  1. Peter Gutmann, phần còn lại dữ liệu trong các thiết bị bán dẫn
  2. Peter Gutmann, Xóa dữ liệu an toàn khỏi bộ nhớ trạng thái từ và trạng thái rắn

Nếu bạn cũng đang tìm kiếm một biện pháp đối phó thì tôi sẽ đề nghị

  1. TRESOR chạy mã hóa an toàn bên ngoài RAM
3
ArekBulski

Cá nhân tôi đã thực hiện Cold Boot Attack trước đây, nó chắc chắn hoạt động. Tôi chủ yếu đề cập đến thực tế giấy Coldboot của Princeton cũng như liên kết McGrew

Tôi đã sử dụng đá khô, cẩn thận với sự ngưng tụ (sử dụng khăn giấy để lau) vì RAM lạnh hơn không khí xung quanh. Khung thời gian để kéo và cắm vào RAM là khoảng 5-15 giây.

2
John