Récupérer le contenu précédent de RAM à partir d'un PC éteint?
J'ai entendu dire que si votre PC est éteint, un attaquant peut récupérer le RAM de la dernière session. Je trouve cela difficile à croire. Comment pourrait-il être fait?
Il y a un élément de vérité à celui-ci - une attaque a été découverte qui a profité de la rémanence des données dans la RAM, permettant à un attaquant de récupérer les données de la RAM dans une machine. Il y avait une très courte délai (une question de secondes ou de minutes) pour le faire, mais ce n'était pas un piratage du PC en tant que tel.
Lien Wikipédia simple vers Cold Boot Attack ici
Et le lien McGrew ici donnant plus de détails
Oui, mais le terme "désactivé" peut prêter à confusion.
Un ordinateur a besoin d’alimentation pour fonctionner, vous le savez. Un PC est alimenté par le mur en CA (courant alternatif) mais les pièces de l'ordinateur nécessitent DC (courant correct). À l'intérieur du PC de bureau se trouve une unité d'alimentation qui convertit CA en CC. Tant que le PC de bureau est branché au mur, il reçoit toujours le courant alternatif.
Au début, un PC avait une alimentation "AT" avec un interrupteur à l'avant. L'alimentation de type 'AT' avait un interrupteur à bouton-poussoir qui arrêtait l'alimentation DC. Le problème était que les utilisateurs éteignaient l'ordinateur pendant qu'il écrivait sur le disque dur. l'alimentation pendant l'écriture du disque dur entraînerait la corruption du disque dur.
Ainsi, l'itération suivante de la conception du PC avait une alimentation électrique ATX. Dans cette conception, l'alimentation électrique connectée à la carte mère et l'interrupteur à l'avant du PC étaient connectés à la carte mère. Pour le ATX design en poussant l'interrupteur off envoie un signal à la carte mère, le système d'exploitation lit le signal sur la carte mère et envoie un signal à l'alimentation.
L'alimentation a plusieurs sorties DC. Le disque dur (et la disquette) a utilisé 12 Volts. Le CPU a pris 5 Volts et plus tard 3,3 Volts. Les différentes tensions sont indépendantes, donc différentes parties de l'ordinateur peut être éteint pendant que d'autres pièces sont allumées.
Lorsque vous appuyez sur le bouton d'alimentation à l'avant du PC ou que vous désactivez le système d'exploitation, il y a toujours au moins un ou deux composants sous tension. Au minimum, le circuit de la carte mère qui reçoit le signal du bouton d'alimentation et le transmet à l'alimentation doit être alimenté et tant que le PC est branché sur le mur.
Le composant en question est le RAM (en fait DRAM), et il n'est pas facile de dire si l'alimentation du RAM est coupée ou quelle méthode de rotation) l'ordinateur éteint arrêtera l'alimentation de la RAM.
La seule façon d'être absolument sûr qu'il n'y a pas d'alimentation au RAM est de déconnecter le PC du mur).
Tant que l'alimentation est fournie au RAM le RAM conservera le contenu de ce qu'il y avait en dernier).
Lorsque RAM est retiré de l'alimentation, les conents commencent à se désintégrer et à un moment donné deviennent illisibles. La température a un impact sur la vitesse à laquelle les données dans le RAM décroît. L'abaissement de la température ralentira la décroissance des données. Un simple plumeau "en conserve" retourné permettra à un attaquant de refroidir le RAM jusqu'à une température qui lui permet de redémarrer la machine avec un système d'exploitation personnalisé conçu pour extraire le contenu de la RAM.
Cette attaque nécessite uniquement un CD/DVD ou un lecteur flash USB amorçable et un plumeau en conserve.
Le RAM dans un PC est DRAM : chaque bit est stocké dans ce qui équivaut à un très petit condensateur, qui fuit. C'est pourquoi la DRAM doit être "rafraîchie" régulièrement. La DRAM type est garantie pour contenir un bit donné pendant au moins 64 ms, mais, en pratique, un bit donné peut persister plus longtemps, jusqu'à plusieurs minutes, en fonction notamment de la température.
Voir en bas de la page Wikipedia pour plus de détails.
En outre, de nombreuses machines (ordinateurs de bureau et ordinateurs portables) ont un "mode veille" dans lequel le processeur est éteint mais le RAM est toujours alimenté; c'est le mode à partir duquel la machine peut être "réveillée" sans passer par toute la procédure de démarrage. Il semble que les arrêts réels soient devenus rares de nos jours. Dans un tel mode, le contenu RAM est, par définition, préservé, prolongeant ainsi les "plusieurs minutes" ci-dessus à des durées arbitraires.
Je vous suggère de regarder ces deux articles. Ils sont assez techniques mais expliquent beaucoup à bas niveau.
- Peter Gutmann, rémanence des données dans les dispositifs semi-conducteurs
- Peter Gutmann, Suppression sécurisée de données de la mémoire magnétique et à semi-conducteurs
Si vous cherchez également une contre-mesure, je vous suggère
J'ai personnellement effectué la Cold Boot Attack avant, ça marche vraiment. Je me référais principalement au papier réel de Princeton Coldboot ainsi qu'au lien McGrew
J'ai utilisé de la glace carbonique, méfiez-vous de la condensation (utilisez un chiffon pour essuyer) car le RAM est plus froid que l'air ambiant. Le délai dans lequel tirer et brancher le RAM est d'environ 5 à 15 secondes.