Proponha uma correção, faça uma sugestão
O seu portátil está protegido?
Claro que não. Mas acho que todos sabemos que a protecção total não existe. Estes amigos explicam como podem quebrar as protecções de segurança quando o conteúdo vale a pena. Não admira que desapareçam portáteis de engenheiros das grandes marcas da Formula 1, entre outros...
Este artigo tem mais de um ano
Loading ...
Nunca estaremos seguros neste mundo…
Por estas e por outras é que desactivei as unidades amovíveis e dvd, no arranque, nos portáteis da minha irmã e sobrinha, e o bios tem senha.
Cumps.
O que está aqui em causa não é quebrar a encriptação de ficheiros encriptados usando a força bruta, isto é, tentando uma sucessão de chaves mais ou menos aleatórias.
Do que aqui se fala é de encontrar a chave de encriptação supostamente armazenada na RAM. Aqui há dias falou-se disso por alguém ter anunciado ter descoberto um método para isso, mas não conheço nenhuma confirmação.
Quanto ao vídeo, acaba em “acredito que”, “parece que”, os programas de encriptação (e mostra a imagem do True Crypt) estão em risco – ou seja, apenas especula e não faz nenhuma afirmação taxativa.
Foi esta a notícia em que se baseia o vídeo, mas nunca mais tinha ouvido falar nisto.
http://news.yahoo.com/s/pcworld/20080221/tc_pcworld/142708
Dumps aleatórios na ram em ambiente windows tambem dizem coisas muito interessantes….
Aceder remotamente a estes dumps tambem… 🙂
Já que o Paulo Ribeiro fala de dumps (imagens instantâneasI) da RAM como se fosse a coisa mais simples deste mundo – que até se conseguirá obter por acesso remoto (esta parte não sei aonde é que ele leu), aqui fica o que li.
Como se sabe, o circuito principal da informação é – processador, RAM (memória física que, com o page file no disco, forma a “memória virtual”) e ficheiros no disco. A RAM é volátil, ou seja, depois de terminada a corrente eléctrica desaparece.
É aqui que os supostos procedimentos para se obter o dump da RAM se distingue – nos casos em que o computador está em funcionamento normal, entra em suspensão, em hibernação ou é desligado – que é o caso do vídeo e das últimas notícias. Quando o computador é desligado o que se diz é que a RAM leva algum tempo a desaparecer – período que haverá que aproveitar para “congelar fisicamente” a RAM (ou seja, manter os 0 e 1 antes que a corrente eléctrica desapareça, para se poder tranferir o módulo físico da RAM para outro computador) ou extrair os dados através de um dispositivo USB.
Note-se bem que há vários anos se fala disto – incluindo a obtenção da chave de encriptação de ficheiros que estará na RAM. Basta googlar que aparecem sites a falar disso aos montes, desde, pelo menos, 2005.
O que a notícia e o vídeo têm de novo é dizer que um investigador (não sei porque não dizem aluno, deve ser para aumentar a credibilidade da notícia) de uma universidade americana conseguiu extrair dados da RAM, logo a seguir ao computador ter sido desligado (o que não será o caso da generalidade dos portáteis roubados). Não afirma que conseguiu uma extrair uma chave de encriptação desse modo mas sugere que é uma questão de tempo – para a realização do grande feito que é acabar, pelo menos em alguns casos, com a protecção que a encritação forte dá aos ficheiros.
Como disse antes, não encontrei nenhuma confirmação, mas se alguém encontrar, convinha esclarecer. Até ver, a encriptação forte continua a ser a única protecção eficaz para os ficheiros (desde que não se desencriptem e apaguem normalmente no disco, caso em que já podem ser recuperados e lidos).
Viva…
essa de retirar a informação em memoria.. ok… por mim tudo bem… ja era conhecido mas pronto… fica sempre bem mostrar como se faz…
agora a parte de retirarem a password do disco rigido… ahahah.. EU PAGAVA para ver esse tipo a retirar a password ao disco mas com a makina desligada.. Eu tornava-me escravo dessa pessoa o resto da vida se fosse possivel…
O que empresas estrangeiras fazem para recuperar os dados de um um disco com password é, retirar os pratos internos do disco e colocam noutra “carcaça” igual (mesma marca e modelo de disco)… aí continuam a usar a informação que la existia (isso tambem eu faço e mesmo sem Laboratorio profissional)… Agora retirar a password de um disco e continuar a usar esse mesmo disco sem o danificar…??? PAGO 1500€(cash) a kem conseguir fazer isso… Ja sabem, o objectivo é: Retirar a password de um disco(SEM ABRIR HARDWARE) e continuar a usar esse mesmo disco como se nada tivesse acontecido…
@Carlos: Infelizmente os procedimentos de segurança que implementaste não são suficientes e não são uma solução para este problema de segurança em particular enquanto existir acesso físico à memória e ao disco rígido. No entanto são uma solução para outros problemas, como os de arrancar com Linux utilizando um livecd e aceder aos dados. De qualquer modo neste caso utilizar uma ferramenta como o truecrypt resolve o problema (excepto o problema de segurança apresentado neste vídeo).
@aver: segundo a pesquisa publicada a hipótese tem fundamento. Para quem quiser ler o relatório original, siga este link http://citp.princeton.edu/pub/coldboot.pdf (PDF). Se fizerem uma pesquisa no Google encontrão milhares de resultados, mas onde eu li a noticia foi aqui http://www.news.com/8301-13578_3-9876060-38.html .
Por isso sim, é possível recuperar a chave de encriptação a partir da memória RAM, que apesar de ser uma memória volátil, com a energia remanescente no sistema mantem os dados durante alguns minutos, por vezes o suficiente para recuperar a integridade dos dados da memória. A melhor forma de se protegerem é utilizarem um programa para encher a ram de zeros quando terminam o vosso sistema operativo, evitar utilizar funcionalidades do tipo “suspend to ram” (activas por omissão no Windows Vista e Mac OS).
De qualquer modo a probabilidade de quererem roubar o vosso portátil para extrairem os dados penso que é algo reduzida…
mas quem é que falou em maquinas desligadas???
mt bom mesmo ja devia era saber + cedo por causa do meu outro dell k tava axim pk foi gamado lollololol
linux rula lol
@ phoenux
Reconheço que o PDF de Princeton está bem escrito e aproveito para fazer uma rectificação ao que disse acima – eles afirmam que encontraram a chave de encriptação em vários casos: BitLocker (Vista), FileVault (Mac OS X), TrueCrypt (multi-plataforma, free), dm-crypt (Linux).
O estado físico do computador não é claro, mas parece-me que estaria em funcionamento ou em stand-by. Seja como for, se conseguiram obter essas chaves de encriptação a questão é muito importante – mais importante do que a questão do tempo em que a informação fica guardada na RAM ante de se apagar. Por isso é que estranho não ter havido mais confirmações disto tudo.
Já à muito sabe-se que nada é inviolável, seja com o PC ligado ou desligado. (apesar de ser ligado é muito muito mais fácil)
O que interessa é que o custo tempo e risco para buscar a informação na maior parte das vezes não compensa com o valor de informação.
Ah, e isto da RAM já se sabe à muito, existe até nos Docs do TrueCrypt mas consegue-se resolver, fazendo que o ficheiro/partição que tem os dados auto-desmontar em 10minutos de inactividade.
O que diz um blog da Microsoft sobre esta notícia e o BitLocker:
http://blogs.msdn.com/windowsvistasecurity/archive/2008/02/22/disk-encryption-balancing-security-usability-and-risk-assessment.aspx
Pra quê trabalhos a desencriptar a password do windows quando so se quer aceder a “ficheiros” ????
Anda muita gente a dormir pelo que vejo…
Já agora deixo a minha miseravel opinião sobre o assunto:
A menos que o dito pc tenha informação ultra-secreta e seja necessário entrar no sistema operativo, como roubar portateis à ferrary para lhes sacar informações sobre os carros (ouvi dizer….) nao vejo interesse nisto.
Ha servidores na net, ligados, à espera de que os seus apaches, phps, ssl, openssl entre outras aplicações fiquem desactualizadas e saiam os CVE’s e BID’s com informações sobre os exploits que andam aí gratuitamente. Sao sites com mais de 50.000 visitas ao dia ou mesmo milhões e com informação lá dentro que vale o peso deles em ouro, pra quê tanta complicação para hackear uma máquina de um campónio quando os verdadeiros sites estão aí, ligados à net e a responder a todos os vossos pedidos?
Sinceramente quando vejo gente aqui preocupada em discutir uma virgula mal posta numa frase minha ou de outro membro e mais preocupados em corrigir os outros e deixar a sua marca por cima como mijo de cão num poste da rua, começo a sentir saudades da censura do vitor no aprovamento de certos comentários.
Tenho dito
Como estudante do ramo, não acredito nos metodos usados no vidio publicado, o conhecimento que tenho no que diz respeito a memórias do tipo “RAM” não são muito extensos, mas pelo que aprendi, as memorias “RAM” necessitam de refrescamento em intervalos de tempo baixissimos, na ordem dos nanosegundos para manter os seus dados intactos. De forma que assim que o computador é desligado é impossivel recuperar qualquer informação das mesmas.
@Lima: sim, de facto as ram precisam de receber energia em intervalos regulares mas essencialmente para operações de leitura e escrita. Depois de os dados estarem guardados na memóra ram, a energia residual da motherboard e da ram é suficiente para manter os dados intactos durante alguns segundos, segundo este estudo suficiente para recuperar os dados. É importante referir que os dados não são “retirados a frio”, ou seja, para fazerem a leitura dos dados destas placas elas são alimentadas normalmente, mas não existe nenhuma escrita de dados, apenas leitura (para não ocorrer “destruição de dados”)…
http://www.theage.com.au/news/security/hack-into-a-windows-pc-no-password-needed/2008/03/04/1204402423638.html
Lol… é um long shot, mas só de ser possível, até assusta….
“a energia residual da motherboard”
tal como kem desliga a tv da ficha e o led de presença demora uns segundos ate estar totalmete apagado
é devido á carga ainda existente nos condensadores do sistema
se teem medo disso, depois de desligarem o pc, descarreguem os condensadores da board
looool
enfim…………………..
tanto trabalho, a probablidade de se ter um atake desse genero ao vosso PC deve ser na ordem dos 0,0000000000001 %