Обнаружен новый способ доступа к данным на зашифрованных дисках

После выключения компьютера, содержимое оперативной памяти без обновления постепенно теряется, но не исчезает моментально, как считают многие. Разные модули DRAM могут сохранять данные разное время, а биты информации разрушаются непредсказуемым образом.

Так как для доступа к зашифрованному жесткому диску необходимо иметь ключ, а он, разумеется, хранится в RAM – все, что нужно, это получить физический доступ к ПК на несколько минут. После перезагрузки с внешнего HDD или USB Flash делается полный дамп памяти и в течении считанных минут из него извлекается ключ доступа.

Если охладить модули ОЗУ перед выключением ПК до температуры около -50° С, разрушение данных можно замедлить, оно продлится от нескольких десятков секунд до десятка минут. Причем, для чтения этих модулей можно даже использовать другой компьютер.

Сообщается, что таким способом удается получить ключи шифрования (и впоследствии полный доступ к HDD), используемые программами BitLocker, FileVault и dm-crypt в операционных системах Windows Vista, Mac OS X и Linux соответственно. Также, кроме перечисленых, была протестирована мултиплатформенная open-source утилита TrueCrypt.

Исследователи заявляют, что пока нет ни одной простой методики защиты от данного способа взлома, кроме как отключение питания на достаточное для полного стирания данных время. Наглядная демонстрация процесса представлена в видеоролике.