Zaszyfrowane dyski wcale nie takie bezpieczne

Technologie szyfrowania danych zapisywanych na dyskach twardych, oparte na oprogramowaniu, nie są wcale takie bezpieczne jak do tej pory sądzono. Udowodnili to naukowcy z Princeton University.

Opracowali oni metodę pozwalającą odzyskiwać klucz szyfrowania danych (czyli w konsekwencji odczytywać informacje zapisane na dysku) stosowane przez takie produkty, jak BitLocker (Windows Vista) FileVault (Apple) czy podobne oprogramowanie stosowane w systemach linuksowych. Jak wiadomo, klucz szyfrowania danych jest odblokowywany z chwilą zalogowania się do komputera (podania hasła) i znajduje się w pamięci DRAM. Okazuje się, że klucz taki można odczytać po....wyłączeniu notebooka.

Jest to możliwe dzięki specyficznym cechom pamięci RAM obsługującym komputery. Wszyscy wiemy, że dane przechowywane w pamięci DRAM (Dynamic RAM) znikają z niej po wyłączeniu komputera. Jest to przecież pamięć ulotna. Okazuje się jednak, że nie następuje to od razu i jest to proces powolny. Czasami (po zastosowaniu odpowiedniej metody) dane znajdują się w pamięci DRAM przez dłuższy czas, co mogą wykorzystać osoby chcące uzyskać dostęp do informacji zapisanych na dysku.

Zobacz również:

Aby atak udał się, komputer musi wcześniej normalnie pracować albo znajdować się w stanie "standby". Klucza nie można odzyskać np. po upływie kilkudziesięciu minut od wyłączenia notebooka. Atak wygląda tak: włamywacz wyłącza komputer na kilka sekund i następnie uruchamia go ponownie (reboot) z podręcznego dysku twardego, na którym znajduje się oprogramowanie przeglądające zawartość pamięci DRAM. Można w ten sposób ominąć zabezpieczenia stosowane przez system operacyjny zarządzający danym notebookiem.

Niektóre komputery czyszczą pamięć RAM w momencie wykonywania operacji boot, ale i na to jest sposób. Naukowcy odkryli, że pamięć DRAM można wtedy mocno schłodzić do temperatury -50 stopni C (używając np. kilku kropel ciekłego azotu), wyjąć ją z notebooka, przenieść do innego komputera i tam odczytać z niej interesujące nas dane, w tym klucz szyfrowania. Dane zapisane w takiej zamrożonej pamięci DRAM można odczytać nawet po upływie 10 minut od momentu wyjęcia jej z notebooka.


TOP 200