Die etwas andere Art der RAM-Analyse [Update]

Forscher aus Princeton haben eine Möglichkeit gefunden (und diese ausnahmsweise auch praktisch bewiesen), den Inhalt der physikalischen RAM-Bausteine länger, als nur ein paar Sekunden nach dem Ausschalten auszulesen. Es ist ja allgemein bekannt, dass der RAM-Inhalt nach dem Ausschalten nicht sofort verschwunden ist, sondern einige Sekunden erhalten bleibt. Die Forscher haben nun mit Hilfe einer handelsüblichen Stickstoffkühldose die Zeit, in der der RAM geleert wird, spürbar vergrößert. Die praktische Bedeutung ihres Experiments wurde mit dem Auslesen des Keys von Festplattenverschlüsselungstools wie Bitlocker, FileVault oder Truecrypt gezeigt. Dies ist dann natürlich auch für die forensische Untersuchung interessant. Denn mit dem aus dem RAM-Baustein gefischten Key kann man dann auf die verschlüsselte Festplatte zugreifen.

Das Szenario sieht dann so aus:

  • sicher gestellter Rechner ist im Standby oder läuft noch
  • RAM wird vor dem ausschalten mit Stickstoffspray o.ä. auf -50 Grad Celcius heruntergekühlt
  • RAM wird ausgebaut
  • RAM wird in zweites System eingebaut
  • zweites System wird mit einem Spezialtool gestartet und dabei wird der RAM ausgelesen
  • RAM wird nach Keys durchsucht

Um die Daten des ausgebauten RAM herauszulesen, haben die Forscher mehrere Programme geschrieben, die über USB-Stick, PXE oder den BIOS-Nachfolger EFI geladen werden und das Erstellen von Speicherabbildern ermöglichen. Chapeau!

Also gehört ab jetzt ’ne Dose Kühlspray in den Ermittlungskoffer 😉

Speicher wird heruntergekühlt (Fotos: http://citp.princeton.edu/memory/media/):

abkühlen des RAM

Heruntergegühlter RAM ist bis zu 10 Minuten nach Entfernen noch auslesbar (Fotos: http://citp.princeton.edu/memory/media/):

RAM ist ausgebaut

Link zur Projektwebseite mit Beispielvideo

Update:
Das Program zum Auslesen der RAM-Bausteine ist ebenfalls veröffentlicht worden.

11 thoughts on “Die etwas andere Art der RAM-Analyse [Update]”

  1. Finde ich nicht. Nun hat eine Firma seine Notebooks verschluesselt und einem aus dem Vorstand wird das Notebook „geziehlt“ geklaut.

    Hat er diesen nun im „Stand By“ Modus, so kann mann mit der obigen Technik an den entschluesselungskey kommen.

    Deshalb haben wir in unserer Policy nun den Stand By Modus deaktiviert. Es gibt nur noch den „Hibernate Modus“. Dort gibt es diese Problematik nicht.

    May the force be with you
    ————————————
    Obi-Wan

  2. Ein weiterer Grund, den Stand-by-Modus kritisch zu betrachten: Einige Festplattenverschlüsselungstools mit Pre-Boot-Authentifizerung fragen beim „Starten“ oder „Aufwecken“ des Rechners aus dem Stand-by-Modus nicht nach dem Pre-Boot-Passwort.

    Mann muss dann als Angreifer „nur“ noch die Betriebssystemauthentifizierung überwinden.

  3. Is doch ganz easy immer schön Pc ausmachen 11 min bewachen und dann alleine lassen.
    [/Witzfunktion an]
    Alternativ könnte man auch jedes mal den ram durch den Papiershredder quetschen und dann neuen einbauen was nätürlich auf dauer ziemlich teuer und aufwendig werden dürfte
    [/Witzfunktion aus]

  4. Pingback: Anonymous

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.