E’ uno studio fatto alla Princeton University che dimostra l’insicurezza di un computer spento.

Il componente incolpato è la RAM .

Cosa succede se la RAM del nostro pc, ritenuta da sempre invulnerabile dopo lo spegnimento del computer non lo fosse?

La RAM funziona in modo che i bit 0 e 1 siano associati alla capacità dei singoli moduli.

Es:

bit 0 -> modulo scarico

bit 1-> modulo carico

Con il passare del tempo la carica decade, allora entra in atto al funzione di refresh .

La funzione di refresh serve a ricaricare correttamente la RAM mantenendo l’informazione presente.

Quasi tutti sanno che, quando il pc viene spento, i dati in RAM dovrebbero perdersi.

Ma il problema è, quanto tempo richiede?

Si è scoperto che più si abbassa la temperatura e più il tempo di decadimento dell’informazione aumenta.

Ad una temperatura di 30°, lo svuotamento impiega 60 secondi con una percentuale di errore del 40%.

Diminuendo ancora la temperatura si ha la media di 2 minuti a -50° con una percentuale di errore prossima allo zero.

In alcuni casi, i moduli più vecchi di RAM mantengono l’informazione per 6 minuti a -50°.

Avere – 50° non è difficile, basta comprare una bomboletta di aria compressa al supermercato e spruzzarla sui banchi di RAM.

Utilizzando l’azoto liquido a -196° le informazioni restano in memoria per alcune ore.

Gli errori,poi, si possono correggere analiticamente.

Quindi le informazioni sensibili sarebbero a rischio.

Ora il punto è, come effettuare l’attacco?

La condizione ideale sarebbe di avere fisicamente a disposizione il pc o laptop che sia.

Anche essendo in stand-by, i dati restano memorizzati in RAM.

Una volta che si ha il pc sotto mano bisogna evitare che il bios o il s.o. sovrascriva la ram.

Per farlo si utilizza il Cool Boot Attack; cioè si forza ad uno spegnimento il pc(togliendo la batteria ad esempio).

Quindi bisogna avere un software leggero(non un s.o.) che esegua il dump(“il prelievo”) dei dati.

A Princeton hanno fatto anche questo, hanno creato un’applicazione stand-alone che occupa pochissima memoria e che può essere avviato da rete PXE, da disco USB o da EFI.

E se il bios è impostato in modo da non permettere il boot da periferiche esterne?

Si montano i moduli di memoria su un altra macchina.

Analizzando l’immagine della RAM si può anche riconoscere la chiave di crittazione del disco per programmi come Microsoft BitLocker, Apple FileVault e TrueCrypt.

Si è visto come molto probabilmente, attraverso calcoli crittografici si riesce a risalire alle chiavi nel 98% dei casi.

Come proteggersi?

-Cancellando la ram all’avvio, impostando il bios.

-Impedendo l’avvio da rete o dispositivi esterni, sempre da bios.

-Tenere d’occhio il sistema per qualche minuto allo spegnimento.

-Impedire l’accesso fisico ai moduli di memoria.