Найти в Дзене
Mycroft Intelligence
558 подписчиков

Холодный ботинок: извлечение данных из оперативки через cold boot

14
1 мин
Сегодня у нас на главное блюдо метод «холодного ботинка», или же cold boot. Что это такое, спросите вы меня и причем тут антифорензика? Ответ прост: в оперативной памяти компьютера хранится очень много всего интересного, в том числе ключи шифрования от томов, в которых лежат следы вашей грязной противоправной активности. А может, миллион биткоинов, кто знает. Как это происходит? Группа захвата врывается в дом к мамкиному хакеру, а тот с перепугу вырубает свой компьютер из сети. Казалось бы, спасен ударом гонга! Но нет, после того как он выдергивает вилку из розетки ему в голову прилетает тяжелым берцем, а специалист по форензике быстро срывает крышку с компа и начинает поливать оперативную память специальным охладителем. В некоторых случаях используется даже жидкий азот (sic! -196 градусов)! Затем либо в комп втыкают флешку со специальным оборудованием, которая делает дамп памяти, либо оперативку вынимают и втыкают в специально подготовленную машину. И вуаля, наш хацкер попал по самые

Сегодня у нас на главное блюдо метод «холодного ботинка», или же cold boot. Что это такое, спросите вы меня и причем тут антифорензика? Ответ прост: в оперативной памяти компьютера хранится очень много всего интересного, в том числе ключи шифрования от томов, в которых лежат следы вашей грязной противоправной активности. А может, миллион биткоинов, кто знает.

Как это происходит? Группа захвата врывается в дом к мамкиному хакеру, а тот с перепугу вырубает свой компьютер из сети. Казалось бы, спасен ударом гонга! Но нет, после того как он выдергивает вилку из розетки ему в голову прилетает тяжелым берцем, а специалист по форензике быстро срывает крышку с компа и начинает поливать оперативную память специальным охладителем. В некоторых случаях используется даже жидкий азот (sic! -196 градусов)! Затем либо в комп втыкают флешку со специальным оборудованием, которая делает дамп памяти, либо оперативку вынимают и втыкают в специально подготовленную машину. И вуаля, наш хацкер попал по самые помидоры.

Почему так происходит? Все дело в том, что как только вырубается электричество ячейки памяти оперативки начинают деградировать, то есть обнуляться. Но этот процесс происходит не моментально. Обычно на это есть примерно секунд 10-15, пока данные не превратились в кашу из цифр. Если все это дело заморозить, то деградация замедляется и счет времени уже идет на десятки минут. Этого вполне достаточно, чтобы специалист по форензике сделал свое дело.

Страшно? Да не особо. В VeraCrypt стоит защита от Cold Boot Attack. Они говорят, что вероятность ее осуществить равна шансам выиграть миллион долларов в лотерею. То есть вы в полной безопасности. Ну, почти. Чтобы не было конфузов, не оставляйте свой инструмент без присмотра, не используйте сон и гибернацию. А еще лучше в настройках Веры поставьте галочку в опцию «шифровать ключи и пароли в ОЗУ» в разделе «Быстродействие и настройки драйвера». И все. Атакующий получит хрен на воротник, а не наши пароли, даже если получил доступ к оперативке.

Всем безопасности!

#инструментарий #библиотека #it #osint #технологии #разведка #кибердед