Wykradanie hasła z pamięci ram. Szyfrowanie nie ma sensu

Miały go nie złamać nawet superkomputery… Chodzi o 256-bitowy klucz AES wykorzystywany przez aplikację służącą do szyfrowania dysków twardych, którą Microsoft dołączył do systemu operacyjnego Windows Vista. Niestety, każdy, kto uważa, że dzięki korzystaniu z Bit-Lockera ma zabezpieczone dane, myli się. Zespół naukowców z Princeton stworzył procedurę, za pomocą której można odczytać dyski twarde nie tylko zabezpieczone z użyciem aplikacji BitLocker, ale również narzędziami, takimi jak Pendant FileVault firmy Apple oraz True–Crypt – szyfrująca aplikacja Open Source. Prawdopodobnie problem dotyczy większości komercyjnych narzędzi szyfrujących, które dotychczas znajdowały się na rynku. Naukowcy do złamania szyfru nie potrzebowali nawet wielkich mocy obliczeniowych.

Narzędzie naukowców nie atakuje samego sposobu szyfrowania, ale po prostu odczytuje hasło bezpośrednio z pamięci RAM komputera, w której jest ono zapisane jako zwykły tekst. W przypadku gdy komputer jest zablokowany lub znajduje się w stanie czuwania, stosuje się następującą sztuczkę: włamywacz podłącza do komputera poprzez USB zewnętrzny dysk twardy i uruchamia komputer ponownie. Tym razem jednak system zostanie uruchomiony z dysku USB, w którym uaktywnia się aplikacja przeszukująca pamięć RAM. Haczyk polega na tym, że zwykle zawartość pamięci RAM, a w efekcie również hasło, są usuwane po wyłączeniu komputera.

Z tym, że nie dzieje się to natychmiast. Zawartość pamięci RAM jest przechowywana jeszcze przez około 3 – 10 sekund od momentu odcięcia dopływu prądu – czas ten zazwyczaj wystarczy, aby komputer ponownie uruchomić, nie tracąc danych z pamięci RAM. Jeżeli nałożone na komputer hasło BIOS uniemożliwia uruchomienie komputera z zewnętrznego medium, naukowcy po prostu wymontowują kość pamięci RAM. W takiej sytuacji dziesięć sekund to mimo wszystko za mało. W celu wydłużenia czasu przechowywania danych kość pamięci zostaje schłodzona ogólnodostępnym sprayem ze sprężonym powietrzem. Przy minus 50 stopniach Celsjusza dane są zahibernowane i można je odczytywać jeszcze przez dziesięć minut… W przypadku ekstremalnej próby z ciekłym azotem (minus 196 stopni Celsjusza) zawartość pamięci RAM była dostępna nawet przez 60 minut.

SPOSÓB OCHRONY:
Zawsze wyłączajmy komputer

Możemy ochronić się tylko w jeden sposób: system operacyjny powinniśmy zawsze zamykać, a następnie wyłączać komputer i wyjmować wtyczkę z gniazdka. Jedynie wtedy zawartość tymczasowej pamięci zostanie automatycznie usunięta. Popularny w notebookach stan wstrzymania nie gwarantuje nam żadnego bezpieczeństwa. Dobrze chronieni jesteśmy natomiast w przypadku trybu hibernacji systemu Windows, jako że system operacyjny zapisuje wówczas zawartość pamięci na dysk twardy, po czym wyłącza komputer.

Dla twórców aplikacji szyfrujących oznacza to konieczność wniesienia poprawek. Hasła w pamięci komputera muszą być szyfrowane, wtedy włamywacze nie obejdą się bez dużej mocy obliczeniowej i ekstremalnie długiego czasu niezbędnego do deszyfracji hasła.