Описан метод сбора паролей из памяти выключенного компьютера
Эксперты-криминалисты из отдела информационной безопасности и
реагирования на инциденты (Information Security and Incident Response
Unit) при Фракийском университете, совместно с коллегой с факультета
прикладной информатики университета Македонии в Салониках опубликовали
любопытную научную работу (pdf),
в которой показывают возможность извлечения информации из оперативной
памяти персонального компьютера, если он был выключен, но не отсоединён
от сети электропитания.
Авторы работы подчёркивают, что восстановление информации из ОЗУ часто
применяется в современной криминалистике, потому что в ОЗУ можно найти
фрагменты реестра, ключи шифрования и другие ценные данные, но при этом
эксперты работают только с включенным компьютером. Однако, необходимо
осуществлять процедуру копирования ОЗУ при опечатывании не только
включенных компьютеров, но и выключенных, считают авторы научной работы.
Опечатывание RAM для дальнейшего восстановления данных можно
осуществить методом заморозки.
Причина в том, что из-за конструктивных ограничений современных модулей
памяти RAM, биты данных можно восстановить в течение нескольких минут
после отключения компьютера.
Интересно, что информацию из оперативной памяти сложнее восстановить,
если компьютер остался включённым и продолжает работать. В этом случае
важные участки ОЗУ могут быть перезаписаны новыми данными, и тогда
искомая информация будет потеряна с большей степенью вероятности.
Поэтому конфискованный компьютер нельзя загружать, пока память не
скопирована. Для этого нужно использовать специально подготовленный
liveCD.
С помощью описанного метода исследователи проверили, какова вероятность
восстановления из памяти выключенного компьютера паролей от Facebook,
Skype, Gmail и MSN при условии, что компьютер выключается сразу после
закрытия программы, через 5 минут, через 15 минут и через 60 минут.
Результаты эксперимента показаны на диаграмме.