Чувствительные данные могут быть сняты с ПК, даже если он выключен

Когда вы выключаете свой компьютер, любой пароль, который вы использовали для регистрации на веб-страницах, банке или финансовом счете испаряется в цифровом эфире, не так ли? Не торопитесь с ответом. Греческие исследователи открыли брешь в безопасности, основанной на особенностях работы компьютерной памяти, и которая может быть использована для сбора паролей и других чувствительных данных, даже если ПК выключен.

Кристос Георгиадис (Christos Georgiadis) из Македонского университета в Салоники и его коллеги объяснили, как их открытие может быть использовано специалистами по информатике в криминалистике для извлечения обвинительных доказательств из компьютеров, а также злоумышленниками для получения персональных данных и банковских реквизитов.

Исследователи указали, что большинство пользователей предполагают, что при выключении компьютеров все данные, находящиеся в ОЗУ, удаляются. Поэтому ОЗУ часто называют энергозависимой памятью. На самом деле, все данные в ОЗУ теряются только тогда, когда разрывается цепь питания. Именно в этом смысле следует понимать термин энергозависимая. Георгиадис с коллегами показали, что данные в ОЗУ не теряются, если компьютер выключается, но цепь с основным источником питания не разрывается. Они полагают, что криминалисты и злоумышленники могут таким образом получить доступ к данным большинства недавно используемых приложений. Они указали, что запуск новых требовательных к памяти приложений будет приводить к перезаписи данных в ОЗУ во время использования компьютера, но простое выключение машины оставляет уязвимости в области безопасности и конфиденциальности. Поэтому при криминалистическом сценарии извлечь доказательства из выключенного компьютера больше шансов, чем из работающего.

«Необходимость захвата и анализа содержимого ОЗУ подозреваемых ПК растет по мере того как удаленные и распределенные приложения становятся популярными, и ОЗУ становится важным источником свидетельств, поскольку оно может содержать данные о доступе к сетям и незашифрованные пароли, посланные в онлайн-формах», - объяснили исследователи.

Команда протестировала свой подход, чтобы извлечь данные из ОЗУ после выключения компьютера, на котором выполнялись общераспространенные сценарии работы, включая доступ к Facebook, Gmail, Microsoft Network (MSN) и Skype. Они выполнили дамп памяти через 5, 15 и 60 мин после выключения. Затем они использовали хорошо известные криминалистам инструменты восстановления, чтобы сложить вместе куски разных фрагментов извлеченных данных.

Исследователи были в состоянии реконструировать детали регистрации из дампа памяти для нескольких популярных сервисов, которые запускались из Firefox, включая Google Mail (GMail), Facebook, Hotmail, и WinRar.

«Мы пришли к выводу, что данные в энергозависимой памяти теряются при определенных условиях и при криминалистической экспертизе такая память может быть ценным источником улик», - сказали исследователи.