Forscher aus Princeton haben eine Möglichkeit gefunden (und diese ausnahmsweise auch praktisch bewiesen), den Inhalt der physikalischen RAM-Bausteine länger, als nur ein paar Sekunden nach dem Ausschalten auszulesen. Es ist ja allgemein bekannt, dass der RAM-Inhalt nach dem Ausschalten nicht sofort verschwunden ist, sondern einige Sekunden erhalten bleibt. Die Forscher haben nun mit Hilfe einer handelsüblichen Stickstoffkühldose die Zeit, in der der RAM geleert wird, spürbar vergrößert. Die praktische Bedeutung ihres Experiments wurde mit dem Auslesen des Keys von Festplattenverschlüsselungstools wie Bitlocker, FileVault oder Truecrypt gezeigt. Dies ist dann natürlich auch für die forensische Untersuchung interessant. Denn mit dem aus dem RAM-Baustein gefischten Key kann man dann auf die verschlüsselte Festplatte zugreifen.
Das Szenario sieht dann so aus:
- sicher gestellter Rechner ist im Standby oder läuft noch
- RAM wird vor dem ausschalten mit Stickstoffspray o.ä. auf -50 Grad Celcius heruntergekühlt
- RAM wird ausgebaut
- RAM wird in zweites System eingebaut
- zweites System wird mit einem Spezialtool gestartet und dabei wird der RAM ausgelesen
- RAM wird nach Keys durchsucht
Um die Daten des ausgebauten RAM herauszulesen, haben die Forscher mehrere Programme geschrieben, die über USB-Stick, PXE oder den BIOS-Nachfolger EFI geladen werden und das Erstellen von Speicherabbildern ermöglichen. Chapeau!
Also gehört ab jetzt ’ne Dose Kühlspray in den Ermittlungskoffer 😉
Speicher wird heruntergekühlt (Fotos: http://citp.princeton.edu/memory/media/):
Heruntergekühlter RAM ist bis zu 10 Minuten nach Entfernen noch auslesbar (Fotos: http://citp.princeton.edu/memory/media/):
Link zur Projektwebseite mit Beispielvideo
Update:
Das Program zum Auslesen der RAM-Bausteine ist ebenfalls veröffentlicht worden.
Ist wohl doch etwas unwahrscheinlich…
Finde ich nicht. Nun hat eine Firma seine Notebooks verschluesselt und einem aus dem Vorstand wird das Notebook „geziehlt“ geklaut.
Hat er diesen nun im „Stand By“ Modus, so kann mann mit der obigen Technik an den entschluesselungskey kommen.
Deshalb haben wir in unserer Policy nun den Stand By Modus deaktiviert. Es gibt nur noch den „Hibernate Modus“. Dort gibt es diese Problematik nicht.
May the force be with you
————————————
Obi-Wan
Ein weiterer Grund, den Stand-by-Modus kritisch zu betrachten: Einige Festplattenverschlüsselungstools mit Pre-Boot-Authentifizerung fragen beim „Starten“ oder „Aufwecken“ des Rechners aus dem Stand-by-Modus nicht nach dem Pre-Boot-Passwort.
Mann muss dann als Angreifer „nur“ noch die Betriebssystemauthentifizierung überwinden.
Kältespray gibt von KONTAKT CHEMIE unter den Bezeichnungen Kälte 75 sowie Frost 49 (z.B. bei Reichelt).
Is doch ganz easy immer schön Pc ausmachen 11 min bewachen und dann alleine lassen.
[/Witzfunktion an]
Alternativ könnte man auch jedes mal den ram durch den Papiershredder quetschen und dann neuen einbauen was nätürlich auf dauer ziemlich teuer und aufwendig werden dürfte
[/Witzfunktion aus]
…oder einfach kein Suspend-to-Ram benutzen.
neumodische Geräte, mit der Schreibmaschine gabs früher solche Problemchen nicht
Wie Alex schon sagte, Suspend to Ram, ist die beste Lösung, wenns darum geht.
Finde ich toll, dass Sie den Lesern einen Einblick in Ihre Arbeit gewähren, was es alles nicht gibt…ein Kältespray für Aufklärungsarbeiten am Computer.