В новой исследовательской работе экспертами в области криминалистики
рассматриваются возможности извлечения данных из оперативной памяти компьютера в то время, когда он находится в различных неактивных режимах, включая недавнее отключение питания.
Работа представляет интерес в первую очередь для криминалистов и специалистов в области безопасности. Показано, что если во время захвата подозреваемые успевают выключить свои компьютеры и ноутбуки штатными средствами, всё ещё сохраняется техническая возможность восстановить данные из их ОЗУ.
Вопреки распространённому мнению о мгновенном обнулении оперативной памяти, в серии экспериментов удалось получить ценные сведения, сделав её дамп через 5, 15 и 60 секунд после выключения питания компьютера.
Моделировалась типичная ситуация запуска нескольких приложений, работающих с использованием паролей. В частности, браузера Firefox и архиватора WinRAR. При выключении компьютера в снятом без промедления дампе обнаруживались пароли доступа к архивам и популярным веб-сервисам (Facebook, Gmail, Hotmail, etc).
Ведущий автор исследования Христос Георгиадис из Университета Македонии в Салониках поясняет в статье, что, хотя оперативная память по своей природе и является энергозависимой, отключение питания компьютера не приводит к полной потере всех находящихся в ней данных в ту же секунду.
Основную роль в медленном угасании сигнала играют схемы питания, в которых присутствует значительная ёмкостная составляющая. Георгиадис особо подчёркивает, что в компьютерах и особенно мобильной технике под “выключенным” состоянием редко подразумевается полностью обесточенное. Как правило, речь идёт о переходе в один из режимов пониженного энергопотребления, в котором полного прекращения питания всех компонентов не происходит.
Только физическое прерывание цепи (извлечение коннектора питания материнской платы или самих модулей ОЗУ из слотов) приводит к сравнительно быстрой очистке оперативной памяти, резюмируют авторы исследования.
Серия копий одного изображения, восстановленных из дампов оперативной памяти, снятых через 5, 30, 60 и 300 секунд после отключения питания
В то же время в более ранних
публикациях Принстонского университета упоминается техника атаки под названием “cold boot”. Согласно данной методике, быстрое охлаждение модулей памяти DRAM сразу после их извлечения позволяет “законсервировать” содержащиеся в них данные на срок до нескольких минут, что хорошо видно на иллюстрации.