`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Леонид Бараш

Чувствительные данные могут быть сняты с ПК, даже если он выключен

+1212
голосов

Когда вы выключаете свой компьютер, любой пароль, который вы использовали для регистрации на веб-страницах, банке или финансовом счете испаряется в цифровом эфире, не так ли? Не торопитесь с ответом. Греческие исследователи открыли брешь в безопасности, основанной на особенностях работы компьютерной памяти, и которая может быть использована для сбора паролей и других чувствительных данных, даже если ПК выключен.

Кристос Георгиадис (Christos Georgiadis) из Македонского университета в Салоники и его коллеги объяснили, как их открытие может быть использовано специалистами по информатике в криминалистике для извлечения обвинительных доказательств из компьютеров, а также злоумышленниками для получения персональных данных и банковских реквизитов.

Исследователи указали, что большинство пользователей предполагают, что при выключении компьютеров все данные, находящиеся в ОЗУ, удаляются. Поэтому ОЗУ часто называют энергозависимой памятью. На самом деле, все данные в ОЗУ теряются только тогда, когда разрывается цепь питания. Именно в этом смысле следует понимать термин энергозависимая. Георгиадис с коллегами показали, что данные в ОЗУ не теряются, если компьютер выключается, но цепь с основным источником питания не разрывается. Они полагают, что криминалисты и злоумышленники могут таким образом получить доступ к данным большинства недавно используемых приложений. Они указали, что запуск новых требовательных к памяти приложений будет приводить к перезаписи данных в ОЗУ во время использования компьютера, но простое выключение машины оставляет уязвимости в области безопасности и конфиденциальности. Поэтому при криминалистическом сценарии извлечь доказательства из выключенного компьютера больше шансов, чем из работающего.

«Необходимость захвата и анализа содержимого ОЗУ подозреваемых ПК растет по мере того как удаленные и распределенные приложения становятся популярными, и ОЗУ становится важным источником свидетельств, поскольку оно может содержать данные о доступе к сетям и незашифрованные пароли, посланные в онлайн-формах», - объяснили исследователи.

Команда протестировала свой подход, чтобы извлечь данные из ОЗУ после выключения компьютера, на котором выполнялись общераспространенные сценарии работы, включая доступ к Facebook, Gmail, Microsoft Network (MSN) и Skype. Они выполнили дамп памяти через 5, 15 и 60 мин после выключения. Затем они использовали хорошо известные криминалистам инструменты восстановления, чтобы сложить вместе куски разных фрагментов извлеченных данных.

Исследователи были в состоянии реконструировать детали регистрации из дампа памяти для нескольких популярных сервисов, которые запускались из Firefox, включая Google Mail (GMail), Facebook, Hotmail, и WinRar.

«Мы пришли к выводу, что данные в энергозависимой памяти теряются при определенных условиях и при криминалистической экспертизе такая память может быть ценным источником улик», - сказали исследователи. 

+1212
голосов

Напечатать Отправить другу

Читайте также

действительно интересная статья. понятие "выключить ПК" теперь обретает новый смысл

скажу больше.
даже с полностью обесточенных (в частности, извлеченных из своих гнезд) модулей памяти можно считать данные, если, к примеру, охладить их.
причем это было продемонстрировано и, соответственно, стало известно по крайней мере в 2008 г. - https://citp.princeton.edu/research/memory/
так что эти греки пользуют свой лавровый лист незаслуженно ;)
также стоит обратить внимание, что проблема касается не только криминалистики. описанным способом на "заснувшем" ноутбуке потенциально (то есть если делается целенаправленно) взламывается любая _программная_ система шифрования, типа BitLocket, TrueCrypt и пр.

Весомый повод для выключения ПК за 10 минут до окончания рабочего дня: "Шоб память очистилась".

2 Игорь Дериев
Правильное замечание об уникальности подхода.
Сам по себе способ извлечения информации из ОЗУ не является новинкой.

Что же касается умозаключения
"взламывается любая _программная_ система шифрования",
то тут позволю себе не согласиться.
Взломать можно лишь ту систему, которая хранит данные в памяти в открытом виде.
Мало того - еще нужно, чтобы в момент выключения ключи присутствовали в оперативной памяти системы.

2 mv m
"Весомый повод для выключения ПК за 10 минут до окончания рабочего дня"

Сам факт возможного физического доступа к системе, на которой обрабатывается конфиденциальная информация, это прежде всего повод для компании внедрить шифрование.
При выборе конкретного решения стоит обратить внимание подвержена ли выбранная система озвученной уязвимости или нет.

Например McAfee Endpoint Encryption for File Folder (выборочное шифрование файлов и каталогов) может выгружать ключи из памяти если система заблокирована (включился скринсейвер, сон/хибернация).

McAfee Endpoint Encryption for PCs (полное шифрования дисков) выгружает ключи из памяти при выключении и хибернации.

http://www.mcafee.com/ru/products/endpoint-encryption.aspx

Поэтому получить доступ к зашифрованным данным, используя описанный в статье метод, не получиться.

ну, я сделал некоторую "отмазку", написав: _потенциально_ ломается. но: а) какая-то часть данных в памяти всегда открыта 2) в большинстве случаев ключи также там хранятся постоянно.
С вашим примером подробно не знаком, но могу предположить, что и в нем вряд ли можно говорить про абсолютную защиту: даже если мастер-ключ выгружается, значит где-то он хранится открытым или есть другой ключ для его расшифровки. т.е. это просто дополнительная препона на пути взломщиков - что, впрочем, также неплохо :)

Вы абсолютно правы! С этим надо что-то делать, например, предыдущий комментарий от имени "mv m", написан не мной...

2 Игорь Дериев

"какая-то часть данных в памяти всегда открыта"
Смотря как защищать.
Безусловно, практически любой запущенный процесс оставляет после себя "цифровой" след, если не в оперативной памяти то в каталогах временных файлов или в файле подкачки.

Для параноиков, которым не достаточно шифрования, можно порекомендовать после завершения работы запускать что-то типа Memtest86+ для очистки ОЗУ от остатков обрабатываемых данных.

Я повторюсь - сама по себе возможность беспрепятственного доступа к "железу" - уже повод для внедрения защитных мер или хотя бы попыток пресечь хранение важной информации на оборудовании, которое потенциально может быть забыто/украдено.

"даже если мастер-ключ выгружается, значит где-то он хранится открытым"
Я не вправе говорить за все решения по шифрованию, но опыт, приобретенный в процессе работы с McAfee подсказывает - ключи не хранятся в открытом виде.

А что касается возможности обхода того или иного "кольца" защиты системы, то тут срабатывает комплексный подход - там, где это действительно необходимо, развертывается полный комплекс шифрования - полнодисковое защищает данные от несанкционированного доступа в случае если злоумышленник загрузит систему с флешки либо просто извлечет жесткий диск; выборочное шифрование файлов/папок защитит информацию при обработке/передаче третьим лицам.
Ну а саму систему шифрования будет "прикрывать" отряд "бойцов", состоящий из антивируса, HIPS и брандмауэра - это правильный вариант защиты.

Ну и желательно, чтобы при все этом соблюдались простые правила безопасности:
- наличие актуальных бэкапов
- наличие свежих заплат для ОС и ПО
- пользователь не должен постоянно работать под учетной записью с повышенными привилегиями

Если система - ноутбук, к этому можно добавить пароль на биос, в самом биосе заблокировать возможность загрузить систему с чего-то еще кроме жесткого диска.

При таком комплексном подходе можно говорить о достойном уровне безопасности. Я подразумеваю, что в этому случае взлом/утечка с большей вероятностью произойдет по вине/невнимательности самого оператора системы.

По сему неплохо было бы в этот комплект добавить еще и DLP с умно прописанными правилами - даже если пользователь по ошибке или неадекватности попытается что-то кому-то переслать по почте, скопировать на флешку или запостить в своей любимой СоцСети, DLP его остановит.

Весь вопрос в том, насколько это реально нужно.
Если на жестком диске храниться лишь коллекция любимых фильмов и сохраненки от игр, скачанных с ближайшего торрента - смысла городить сложную защиту нет.

Если же мы говорим о ноутбуке ТОПменеджера, в котором одна только переписка и контактлист могут быть очень лакомым куском, не говоря уже про содержание прайсов, договоров и контрактов - то в этом случае стоит задуматься чем компании будет грозить утрата и огласка/использование этой информации.

Проблема нашего рынка безопасности да ИТ сферы в целом - с одной стороны высокие технологии сплошь и рядом составляют "фундамент" большинства бизнес-процессов, с другой - пока не случиться инцидент, о защите принято не думать.

На сколько я знаю состояние ячеек памяти ОЗУ не может быть зафиксировано как, например, состояние e-ink, следовательно, получается что питание продолжает подаваться и после выключения компьютера, т.е. кнопка power фактически ничего не обесточивает и компьютер по прежнему под напряжением? Какая опасная техника.
А данные специалисты оценивали вероятность того что пароль и прочее хотя бы находятся в памяти после активного использования компьютера?

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT