Wykradanie hasła z pamięci ram. Szyfrowanie nie ma sensu

Miały go nie złamać nawet superkomputery… Chodzi o 256-bitowy klucz AES wykorzystywany przez aplikację służącą do szyfrowania dysków twardych, którą Microsoft dołączył do systemu operacyjnego Windows Vista. Niestety, każdy, kto uważa, że dzięki korzystaniu z Bit-Lockera ma zabezpieczone dane, myli się. Zespół naukowców z Princeton stworzył procedurę, za pomocą której można odczytać dyski twarde nie tylko zabezpieczone z użyciem aplikacji BitLocker, ale również narzędziami, takimi jak Pendant FileVault firmy Apple oraz True–Crypt – szyfrująca aplikacja Open Source. Prawdopodobnie problem dotyczy większości komercyjnych narzędzi szyfrujących, które dotychczas znajdowały się na rynku. Naukowcy do złamania szyfru nie potrzebowali nawet wielkich mocy obliczeniowych.
archiwum
28.05.2008|Przeczytasz w 2 minuty

Narzędzie naukowców nie atakuje samego sposobu szyfrowania, ale po prostu odczytuje hasło bezpośrednio z pamięci RAM komputera, w której jest ono zapisane jako zwykły tekst. W przypadku gdy komputer jest zablokowany lub znajduje się w stanie czuwania, stosuje się następującą sztuczkę: włamywacz podłącza do komputera poprzez USB zewnętrzny dysk twardy i uruchamia komputer ponownie. Tym razem jednak system zostanie uruchomiony z dysku USB, w którym uaktywnia się aplikacja przeszukująca pamięć RAM. Haczyk polega na tym, że zwykle zawartość pamięci RAM, a w efekcie również hasło, są usuwane po wyłączeniu komputera.

Z tym, że nie dzieje się to natychmiast. Zawartość pamięci RAM jest przechowywana jeszcze przez około 3 – 10 sekund od momentu odcięcia dopływu prądu – czas ten zazwyczaj wystarczy, aby komputer ponownie uruchomić, nie tracąc danych z pamięci RAM. Jeżeli nałożone na komputer hasło BIOS uniemożliwia uruchomienie komputera z zewnętrznego medium, naukowcy po prostu wymontowują kość pamięci RAM. W takiej sytuacji dziesięć sekund to mimo wszystko za mało. W celu wydłużenia czasu przechowywania danych kość pamięci zostaje schłodzona ogólnodostępnym sprayem ze sprężonym powietrzem. Przy minus 50 stopniach Celsjusza dane są zahibernowane i można je odczytywać jeszcze przez dziesięć minut… W przypadku ekstremalnej próby z ciekłym azotem (minus 196 stopni Celsjusza) zawartość pamięci RAM była dostępna nawet przez 60 minut.

SPOSÓB OCHRONY:
Zawsze wyłączajmy komputer

Możemy ochronić się tylko w jeden sposób: system operacyjny powinniśmy zawsze zamykać, a następnie wyłączać komputer i wyjmować wtyczkę z gniazdka. Jedynie wtedy zawartość tymczasowej pamięci zostanie automatycznie usunięta. Popularny w notebookach stan wstrzymania nie gwarantuje nam żadnego bezpieczeństwa. Dobrze chronieni jesteśmy natomiast w przypadku trybu hibernacji systemu Windows, jako że system operacyjny zapisuje wówczas zawartość pamięci na dysk twardy, po czym wyłącza komputer.

Dla twórców aplikacji szyfrujących oznacza to konieczność wniesienia poprawek. Hasła w pamięci komputera muszą być szyfrowane, wtedy włamywacze nie obejdą się bez dużej mocy obliczeniowej i ekstremalnie długiego czasu niezbędnego do deszyfracji hasła.

Więcej:hasłaochrona danychszyfrowaniewykradanie danych
UdostępnijTwitter