Portál AbcLinuxu, 20. dubna 2026 15:04


Obsah RAM lze získat i několik minut po vypnutí PC

Na stránkách Univerzity v Princetonu byla zveřejněna bezpečnostní studie popisující, jak lze jednoduše obnovit původní obsah paměti RAM až několik minut po vypnutí počítače. Lze tak získat z paměti např. šifrovací klíče všech běžně používaných systémů pro šifrování disku (dm-crypt, TrueCrypt, BitLocker, FileVault). Na stránkách najdete i jednoduchý návod.

22.2.2008 01:45 | xm | Zajímavý článek


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

22.2.2008 09:38 andreee
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
Odpovědět | Sbalit | Link | Blokovat | Admin
dobra konina... :-D na princetone asi nestihaju na mff (a ich "hacky" md5 etc.), tak skusaju publikovat aspon zname veci, aby vykazali nejaku cinnost :-D
22.2.2008 09:52 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
Bezpečnostní studie o hledání kolizí hashovacích algoritmů jsou nesmírně užitečné, ale obsah zašifrovaného disku díky nim nezískám :-)

Nicméně taky si říkám, že když je to tak jednoduché získat obsah RAM po vypnutí počítače, už na to určitě musel někdo přijít dříve. Ovšem já to třeba nevěděl...
Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
Vašek Lorenc avatar 22.2.2008 14:40 Vašek Lorenc | skóre: 27
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
Tyhle útoky s podchlazováním se používají už delší dobu.. i když ne zrovna v oblasti celých PC, to je fakt. Šlo obvykle o jednočipy a věci kolem "bezpečného" ukládání klíčů. Nicméně dle různých poznámek je tahle vlastnost paměťových čipů známá už dlouho.
...včetně majestátného loosa
22.2.2008 14:45 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
Tak oni taky autoři té bezpečnostní studie psali, že navazují na různé zvěsti o tom, že to jde, které se porůznu před lety objevovaly. Ale nenašli na žádnou vědeckou studii, zkrátka nic konkrétního, jen zvěsti.
Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
Vašek Lorenc avatar 22.2.2008 15:09 Vašek Lorenc | skóre: 27
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
No já vycházel z posteru od Sergeie Skorobogatova, Data remanence in non-volatile semiconductor memory (pdf!). Je toho někde víc, dokonce i srovnání různých typů RAM s ohledem na to, jak rychle ztrácejí data..

(tohle nemá být pokud o vyvrácení toho, že existují jen zvěsti, jen jsem si uvědomil, že když ten zdroj jsem schopen dohledat, tak je lepší ho přidat)

Teď je modernější zkoumat obdobné vlastnosti u flash pamětí.
...včetně majestátného loosa
23.2.2008 21:01 Stepan
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
Jenze tohle je neco jineho. Uvedeny poster se (podle nadpisu) tyka non-volatilnich pameti, ktere smazeme nebo prepiseme a potom rekonstruujeme predchozi data. V pripade RAM jde o volatilni pamet, ktera ulozena data proste po chvili bez obnovovani "zapomene" a pomoci chlazeni se da to zapominani zpomalit...
Ilfirin avatar 22.2.2008 09:39 Ilfirin | skóre: 32 | blog: ilfblog | Liberec
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
Odpovědět | Sbalit | Link | Blokovat | Admin
Už se těším, jak budou policajti do bytů crackerů vbíhat s tekutým dusíkem a začnou zamrazovat :-)
22.2.2008 09:48 Field
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
Autori tvrdi, ze to funguje i pri pokojove teplote. Takze bez dusiku, staci dostatecne rychle.
22.2.2008 19:28 Martin Doucha | skóre: 23 | blog: Yet another blog
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
Článek je opravdu velké překvapení vzhledem k principu DRAM. Vždyť je to kondenzátor s tranzistorem a dokud se ten kondenzátor samovolně nevybije pod určitou hranici, data je možné přečíst.
22.2.2008 09:49 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
No on tekutý dusík není potřeba, ten jen kdyby ten obsah paměti v RAM modulu chtěli uchovat na dobu hodin nebo možná i dnů. Což samozřejmě není potřeba, stačí aby při razii hned na místě stáhli obsah paměti a s žádným chlazením si nemusí dělat starosti :-)
Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
Ilfirin avatar 22.2.2008 10:02 Ilfirin | skóre: 32 | blog: ilfblog | Liberec
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
Než ale sundají kryt PC (no dobrá, USB ale což), než připojí vlastní zařízení... než znovu zapojí elektřinu, kterou cracker v posledním tažení, než dostal obuškem po hlavě, vyrval....

Tak se pár vteřinek navíc hodí.
22.2.2008 10:16 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
To je pravda, ale na to nutně nepotřebují kapalný dusík, na prodloužení času o minuty stačí pouhé schlazení sprayem.

I když osobně nevidím ani v kapalném dusíku žádný problém, dá se přechodně skladovat i v normální termosce na čaj :-)
Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
22.2.2008 10:22 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
Jinak cen akapalného dusíku je jen asi 4 Kč/litr a občas s ním někdo dělá třeba i zmrzlinu ;-)
Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
22.2.2008 12:45 Mandarinka
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
Moje fyzikářka :)
22.2.2008 13:02 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
Já v něm určitý problém vidím, nejsem si jistý, jak by se na kapalný dusík tvářil plast, ze kterého jsou tišťáky.
22.2.2008 13:03 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
...nebo pouzdra integrovaných obvodů.
22.2.2008 13:58 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
Vždyť oni to zkoušeli a fungovalo jim to, k žádnému poškození nedošlo. Paměťový modul vložili do termosky s kapalným dusíkem, po 6 hodinách ho vyndali a dali zpátky do slotu, nabootovali a voila, data tam stále byla, neporušená! ;-)
Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
23.2.2008 10:46 Kyosuke | skóre: 28 | blog: nalady_v_modre
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
O skelná vlákna bych se nebál, pryskyřice možná zkřehne, ale u těch pamětí se asi stejně nečeká, že by je pak člověk používal. :-)
Jak moc jsou ábíčkáři inteligentní? ;-)
22.2.2008 10:43 alvyn | skóre: 3
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
Ovšem pravě to vyrvání elektriky je kritické :) Mělo by stačit jen odmountovat disk. Pokuď vyrveš elektriku a předtím neodmountuješ akorat jim tím nahraješ. Četl jsem si celé to jejich pdf a Truecrypt tam obešli právě tak, že nabootovali počítač přimountovali zakryptovaný disk a vypli elektriku natvrdo. TC se tak nestihl odmountovat disk a klíč zůstal v paměti. Ovšem, když se odmountuje tak klič přepíše nějakým balastem. Problémem je proto akorat takovéto vypnutí a potom třeba jen zamčená stanice s přimountovaným diskem. Pak to můžou natvrdo vypnout.
22.2.2008 10:49 alvyn | skóre: 3
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
7.3 TrueCrypt TrueCrypt is a popular open-source disk encryption product for Windows, Mac OS, and Linux platforms. It supports a variety of ciphers, including AES, Serpent, and Twofish. In version 4, all ciphers used LRW mode; in the current version, version 5, they use XTS mode (see Section 5.3). TrueCrypt stores a cipher key and a tweak key in the volume header for each disk, which is then encrypted with a separate key derived from a user-entered password. We tested TrueCrypt versions 4.3a and 5.0a running on a Linux system. We mounted a volume encrypted with a 256-bit AES key, then briefly cut power to the system and used our memory imaging tools to record an image of the retained memory data. In both cases, our keyfind program was able to identify the 256-bit AES encryption key, which did not contain any bit errors. For TrueCrypt 5.0a, keyfind was also able to recover the 256-bit AES XTS tweak key without errors. To decrypt TrueCrypt 4 disks, we also need the LRW tweak key. We observed that TrueCrypt 4 stores the LRW key in the four words immediately preceding the AES key schedule. In our test memory image, the LRW key did not contain any bit errors. (Had errors occurred, we could have recovered the correct key by applying the techniques we developed in Section 5.3.)
22.2.2008 14:22 alvyn | skóre: 3
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
Z truecrypt fóra (cili opravdu zadna novinka staci jen vic cist:)

From the TrueCrypt documentation, section Unencrypted Data in RAM (chapter Security Precautions):

Unencrypted Data in RAM

It is important to note that TrueCrypt is disk encryption software, which encrypts only disks, not RAM (memory).

Keep in mind that most programs do not clear the memory area (buffers) in which they store unencrypted (portions of) files they load from a TrueCrypt volume. This means that after you exit such a program, unencrypted data it worked with may remain in memory (RAM) until the computer is turned off (and, according to some researchers, even for some time after the power is turned off). Also note that if you open a file stored on a TrueCrypt volume, for example, in a text editor and then force dismount on the TrueCrypt volume, then the file will remain unencrypted in the area of memory (RAM) used by (allocated to) the text editor. This applies to forced auto-dismount as well.

Inherently, unencrypted master keys have to be stored in RAM as well. When a TrueCrypt volume is dismounted, TrueCrypt erases its master keys (stored in RAM). When the computer is cleanly restarted, all TrueCrypt volumes are automatically dismounted (thus, all master keys stored in RAM are erased by the TrueCrypt driver). However, when the computer is reset (not cleanly restarted), when the system crashes, or when power supply is abruptly interrupted, the TrueCrypt driver stops running and therefore cannot erase any keys.
22.2.2008 10:51 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
Takže v případě útoku (ať už by se jednalo o policejní razii nebo cokoliv jiného) by bylo záhodno vypnout elektřinu a doufat že jejich cíl nemá notebook nebo UPS :-) Ale nemyslím si, že v případně nějaké rychlé razie by člověk (který by něco takového dopředu nečekal) stihl odmountovat disk... flashbang granáty by udělali své ;-)
Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
22.2.2008 11:07 alvyn | skóre: 3
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
Se to da nastavit jako hot-key :) Třeba do programovatelne myši nebo klávesnice (samozřejmě s nápisem autodestrukce nezapínat:)
22.2.2008 11:17 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
To by jistě šlo, ale napadlo by tě, že je to potřeba, před přečtením tohoto článku? ;-)

Navíc by ti to pomohlo jedině v případě toho notebooku nebo PC s UPSkou (pravděpodobně by vypli proud dřív než by tam vtrhli).
Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
22.2.2008 11:29 alfonz
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
a nestačilo by náhodou sysrq?:) Nečetl jsem to nevím, jak to funguje, ale imho sysrq + plus REISUB nebo ještě více, dá právě to, že nic nebude
22.2.2008 13:13 Martin Beránek | skóre: 33 | blog: mousehouse | Brno
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
nesatačilo by SUO? (viz http://www.linuxhowtos.org/Tips and Tricks/sysrq.htm)
never use rm after eight
24.2.2008 20:11 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
Ne, nestačí ani to před tím, protože U nedělá umount, ale jen přemontuje pro čtení. Tudíž klíče nebudou zničeny. Je třeba do jádra implementovat přepsání fyzické paměti včetně všech vyrovnávacích pamětí těsně před vypnutím. Pak si stačí pořídit UPS a neodcházet od počítače :)
22.2.2008 13:08 Martin Beránek | skóre: 33 | blog: mousehouse | Brno
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
Četl jsem si celé to jejich pdf a Truecrypt tam obešli právě tak, že nabootovali počítač přimountovali zakryptovaný disk a vypli elektriku natvrdo. TC se tak nestihl odmountovat disk a klíč zůstal v paměti.
To je sice pěkné, ale jak proboha přimountovali ten zakryptovaný disk???
never use rm after eight
22.2.2008 14:11 disorder | blog: weblog
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
zburali kryptu :)
22.2.2008 15:55 Honza
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
No pokud jsem to spravne pochopil, tak praveze pri vypnuti natvrdo v RAMce ten klic jeste chvili zustal a mohli ho tak ziskat - vzdyt o tom ten clanek je, ne?
22.2.2008 09:53 alvyn | skóre: 3
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
Odpovědět | Sbalit | Link | Blokovat | Admin
Pokuď jsem to správně pochopil stačí Unmountnout a pak nemaj co obnovit?

Q. What can vendors do to protect against these attacks? A. We discuss several potential mitigation strategies in our research paper, though many of these would require hardware modifications or substantial changes to the way disk encryption software is designed and used. The best software-only solution would be to encrypt the disk key with a password whenever the computer enters an inactive state, so that it will not be useful to an attacker even if it is copied from RAM. Unfortunately, this means the computer itself would not be able to access the disk until the user enters the password, so this approach might not be practical when the computer is in certain states, such as at a locked screen saver. (Some disk encryption products, including Microsoft’s BitLocker in “advanced mode,” implement a form of this protection when the computer is powered off or hibernating.)
Jendа avatar 22.2.2008 10:01 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
Odpovědět | Sbalit | Link | Blokovat | Admin
Zkusil jsem to, bez proudu 10 vteřin a po obsahu paměti ani památka. A to jsem schválně bootoval do single-user, aby to nenažrané grafické aplikace nepřepsaly. No tak jsem rád, že mám data v bezpečí.

Jinak je asi lepší to dělat takhle: 
# strings /dev/mem > dump.mem
# grep -c ARGON dump.mem
22.2.2008 10:12 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
If you don’t see any copies of the pattern, possible explanations include (1) you have ECC (error-correcting) RAM, which the BIOS clears at boot; (2) your BIOS clears RAM at boot for another reason (try disabling the memory test or enabling “Quick Boot” mode); (3) your RAM’s retention time is too short to be noticeable at normal temperatures. In any case, your computer might still be vulnerable — an attacker could cool the RAM so that the data takes longer to decay and/or transfer the memory modules to a computer that doesn’t clear RAM at boot and read them there.
Takže to ještě neznamená, že tvůj počítač je bezpečný. Pravděpodobně by s tím jen měli víc práce (zchladit paměťový modul sprayem, vyndat ho a dát do jiného předem připraveného PC).
Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
andree avatar 22.2.2008 12:12 andree | skóre: 39 | blog: andreeeeelog
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
neviem, mne sa stale zda ze si to predstavuju prilis jednoducho v princetone... predsa ked clovek vytahuje ramku z dosky, tam je tolko skratov, ze z tych dat v ram asi toho vela neostane... preco inak by mala ram nejake obnovovacie cykly (~15x za sekundu podla wikipedie)? jedina moznost je fakt vytrhnut elektriku, hned to znovu pustit a dufat, ze pocas resetu a biosu sa nevynulovala ramka
22.2.2008 12:23 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
Četl jste to vubec? Koukal jste na to video? Podivovat se můžete jak chcete, ale ono to přesto funguje :-)

Sami v jejich experimentu zchladili RAM modul sprayem (cca -50 stupňů C), vyndali ho, nechali 10 minut venku, pak ho dali do jiného notebooku a světe div se - obnovili z paměti data! Takže ano, opravdu to takto jednoduše funguje (jen bez zchlazení ta data degradují mnohem rychleji, vydrží jen několik desítek vteřin... ale naopak při zchlazení kapalným dusíkem vydrží ještě mnohem déle, hodiny až dny).
Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
22.2.2008 12:32 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
Btw. v té bezpečnostní studii uvádějí i algoritmus, který vytvořili na rekonstrukci AES klíčů z obsahu paměti, který je schopen klíč zrekonstruovat během několika málo sekund i pokud je 10% bitů klíče již degradováno.
Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
andree avatar 22.2.2008 19:07 andree | skóre: 39 | blog: andreeeeelog
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
aha, tak to som prehliadol... v tom pripade beriem spat a idem sa pozriet na video, ktore som tiez prehliadol :-D pardon :o))
22.2.2008 11:05 Libor Chocholaty | skóre: 12
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
A nepřepisuješ si takhle náhodou RAM diskovou keší?
22.2.2008 18:30 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
Další možnost - přepsání paměti během testu paměti BIOSem.
Quando omni flunkus moritati
22.2.2008 12:15 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Likvidace DRM
Odpovědět | Sbalit | Link | Blokovat | Admin
Uvědomil jsem si jednu velmi významnou a pozitivní věc, na kterou je to využitelné - a sice louskání různých stupidních DRM ochran, co omezují uživatele.

Ty DRM ochrany často stojí na tom, že operační systém nenechá žádnou jinou aplikaci přečíst obsah paměti s klíčema. Jenže díky tomuto "cold boot" útoku člověku stačí počítač natvrdo vypnout, nabootovat linuxové LiveCD (nejlépe nějaké speciálně pro tento účel vytvořené, aby mělo co nejmenší memory footprint) a zkopírovat předešlý obsah paměti i s DRM klíči, hurá! :-)

Navíc ani TPM čip (základ Treacherous Computing platformy) v tomto případě nepomůže, ten microsoftí BitLocker diskový šifrovací systém TPM používá a přesto ty klíče získali :-)

Hurá, našla se díra potenciálně schopná zlikvidovat DRM!
Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
David Heidelberg avatar 22.2.2008 12:26 David Heidelberg | skóre: 46 | blog: blog_
Rozbalit Rozbalit vše Re: Likvidace DRM
:-D
Grunt avatar 22.2.2008 13:04 Grunt | skóre: 23 | blog: Expresivní zabručení | Lanžhot
Rozbalit Rozbalit vše Re: Likvidace DRM
Nač tak složitě? Vždyť stačí nastartovat systém v Qemu a pomocí x/fmt addr můžete číst paměť jak je libo.
Na co 64-bitů když to jde i s jedním? | 80.78.148.5 | Hack (for) free or Die Hard!
22.2.2008 14:00 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Likvidace DRM
Pokud vím tak Vista by měla mít nějakou ochranu pomocí které je schopna zjistit, zda neběží ve virtuální mašině, a pokud ano, tak chráněný obsah nedovolí přehrát. Ale možná je tohle vázané na přítomnost TPM čipu, nevím...
Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
23.2.2008 14:30 bhy | skóre: 36 | blog: bhyblog | brno
Rozbalit Rozbalit vše Re: Likvidace DRM
Vista by měla mít nějakou ochranu pomocí které je schopna zjistit, zda neběží ve virtuální mašině
Jak to může zjistit?
PB
23.2.2008 14:41 Kyosuke | skóre: 28 | blog: nalady_v_modre
Rozbalit Rozbalit vše Re: Likvidace DRM
Třeba tím, že si všimne, že běží na emulovaném HW? (Grafická karta, síťová karta...) Ten je totiž poměrně specifický.
Jak moc jsou ábíčkáři inteligentní? ;-)
22.2.2008 16:20 rgb | skóre: 2 | blog: rgblog
Rozbalit Rozbalit vše Re: Likvidace DRM
šikovné by bylo upravit memcheck+, ten ma hodně malý footprint :-)
22.2.2008 12:59 Kvakor
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
Odpovědět | Sbalit | Link | Blokovat | Admin
Mam stary notebook a ten pouzivam na cteni e-booku. Protoze baterie byla zcela mrtva (vydrz <5s), tak do doby, nez jsem si sam vymenil clanky, aby to melo vydrz alespon par minut, tak se mi obcas stalo, ze mi vypadlo napajeni (konektor zdroje moc dobre nedrzi) a notebook behem par sekund "umrel".

Po zapnuti napajeni a opetovnem nabehnuti jsem obcas videl, jak se pri startu XServeru zobrazuje posledni zobrazovana obrazovka, sice mirne "zrnita" (asi jako spatny, zaruseny obraz na TV), ale jinak celkem citelna. Hodilo se to na zjisteni posledni stranky, takze jsem nebusel hledat, kde jsem skoncil. Fungovalo to sice jen par desitkek sekund (po vice nez minute uz nebylo videt nic), ale pokud se napajeni obnovilo hned, bylo to obcas skoro nepozkozene (tedy, az na maly kousek, kde je ve VRAM oblast uzivana v textovem rezimu). Takze to funguje i pro videopameti.
22.2.2008 15:28 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
Odpovědět | Sbalit | Link | Blokovat | Admin
Tak jsem si to sám na vlastní kůži vyzkoušel. Postupoval jsem přesně podle návodu, zaplnil jsem paměť řetězcem "ARGON", natvrdo vypnul počítač (hlavním vypínačem na zdroji), nechal ho 30 sekund vypnutý, znovu ho zapnul (a nabootoval až do Xek včetně KDE). Pak jsem provedl "strings /dev/mem | less" a světe div se, našel jsem tam neuvěřitelné množství argonu, takže to vážně funguje :-)
Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
Jan Drábek avatar 22.2.2008 16:55 Jan Drábek | skóre: 41 | blog: Tartar | Brno
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
U mě po půl minutě nebylo nic, po 2 sekundách bez napájení se toho našlo hodně.
01010010 01000101 01010000 01101100 01001001 00110010 01000100 01100101 01010110
22.2.2008 15:55 Matlák
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
Odpovědět | Sbalit | Link | Blokovat | Admin
zlatá SRAM :-D
22.2.2008 16:32 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
Jenže SRAM k podobným útokům není o nic méně náchylná než DRAM (byť funguje na jiném principu). V té jejich studii je citována Skorobogatovova studie zabývající se právě obnovením obsahu SRAM (uchované při pokojové teplotě). Z diskuze pod blogpostem odkazovaným na stránkách té studie vyplívá, že oni s DRAM dosáhli o něco lepších časů než Skorobogatov s SRAM, nicméně to na zranitelnosti SRAM moc nemění :-)
Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
22.2.2008 16:39 Matlák
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
Hmm to je zajímavé. Myslel jsem, že ve DRAM je informace uchována díky kapacitě hradel MOSFETů, zatímco SRAM používá bistabilní klopné obvody - takové obvody přece nic neuchovají po odpojení napájení ne? I když fakt je, že tyto klopáky jsou tvořeny z většiny taktéž FETy, tudíž kapacita (i když tu je nežádoucí, a na 100% se minimalizuje) tady taky nějaká bude.
Takže asi jedině SRAM tvořená klasickými bipolárními vf tranzistory s minimální kapacitou b-e :-/
22.2.2008 16:44 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
Viz ta studie, co jsem teď odkázal v příspěvku níže. Opravdu to i u SRAM funguje (asi to tam bude vysvětleno jak, já to celé nečetl).
Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
22.2.2008 16:56 Matlák
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
Podle té studie byla doba udržení informace výrazně vyšší pokud nebylo napájení čipu zkratováno - to ukazuje na příčinu. Čip totiž z největší pravděpodobností obsahuje vlastní kondenzátorové filtry, které dokáží udržovat zbytek paměti "při životě" - doba, po kterou to dokáží se pochopitelně prodlužuje se snižující teplotou a tím i snižující se spotřebou obvodu (snižuje se vodivost polovodičů tvořících paměťové buňky) alespoň podle mě..
22.2.2008 16:43 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
Tady je kdyžtak odkaz na tu studii: Low Temperature Data Remanence in Static RAM

Dosáhli obnovení 80% obsahu SRAM 1 minutu po přerušení napájení (přičemž časy se dost lišily výrobce od výrobce, u některých čipů to šlo i při pokojové teplotě, jiné čipy pro takový výsledek musely být zchlazeny až na -50 stupňů C).

Tzn. SRAM opravdu není o moc bezpečnější ;-) Btw. ta studie je z roku 2002, takže žádná novinka to není :-)
Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
Petr Tomášek avatar 22.2.2008 17:28 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
Odpovědět | Sbalit | Link | Blokovat | Admin
Super. Už se těším, až se objeví patch do jádra, který před vypnutím počítače přepíše pamět - nejlépe nějakými náodnými nesmysly...
multicult.fm | monokultura je zlo | welcome refugees!
22.2.2008 17:38 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
Ale to by tento způsob útoku stejně nijak nezastavilo, když vypneš počítač natvrdo, kernel samozřejmě nemůže nic přepsat :-)

Proti získání klíčů k zašifrovanému disku pomůže i obyčejné regulérní vypnutí (protože při odmountování disku snad většina šifrovacích systémů klíč v paměti přepíše... alespoň doufám, někdo to tu v diskuzi psal, jestli ne tak to je extrémně na pováženou ;-)).
Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
22.2.2008 18:01 Jarda
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
To trva dost dlouho, to chce spis nejaky trojhmat a UPSku, pokud neni notas...
22.2.2008 18:24 Ale no tak
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
Navíc tu elektřinu můžou vypnout domovním jističem :-) -- Takže UPS je vhodná --

BTW: Vážně si myslíte, že někdo z orgánů v ČR je schopen takové akce? To už bych spíš čekal, že zkusí chytat signál z monitoru, nebo nasadit osvědčené štěnice.
Grunt avatar 22.2.2008 19:21 Grunt | skóre: 23 | blog: Expresivní zabručení | Lanžhot
Rozbalit Rozbalit vše Re: Obsah RAM lze získat i několik minut po vypnutí PC
Odpovědět | Sbalit | Link | Blokovat | Admin
Nevíte někdo, kde by se dal sehnat ten ram2usb memory dumper?
Na co 64-bitů když to jde i s jedním? | 80.78.148.5 | Hack (for) free or Die Hard!

Založit nové vláknoNahoru


ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.