Foro de elhacker.net

Eh estado leyendo en varios lugares sobre un arranque en frio que pone en peligro los distintos tipos de cifrados que protegen nuestra privacidad y como no tengo mucha idea sobre el tema mejor les pregunto, es cierto que luego de apagar la pc pueden analizar la ram y recuperar los datos ( contraseñas y otros archivos) de la misma aun estando en frio ? de ser asi no sirve de nada cifrar nuestros disco ya que cualquiera podria leer nuestra contraseña analizando la ram, por otro lado podria haber tambien una solucion para este tipo de problemas? desde ya muchas gracias a todos espero juntos podamos encontrar la respuesta mas acertada y en todo caso una solucion a este prolemita que en mi punto de vista nos esta perjudicando a todos.

No me manejo muy bien en el tema pero para ello deberían realizar un análisis forense del equipo, y la imagen a analizar debería ser una especie de snapshot del sistema en ejecución, desconozco si luego de un apagado forzoso se podría realizar tal análisis que comentas. Si quieres experimentar, utiliza Kali Linux en forense mode la idea es no tocar el disco duro, crear una copia en una unidad extraible, comprobar hash de ambos para ver si hay diferencias y luego trabajar de forma independiente, pero esto no sé si aplica en la RAM yo diría que no, esta arte se llama análisis forense informático.

Saludos

no se podría hacer en c o asm un programa  de boot que haga un dump de la ram, procurando alterar en el mínimo posible?

buenas noches, se tiene para ello la aplicación lime. (extractor de memoria linux) para el dumpeo; luego se puede obtener datos de él con por ejemplo, volatily.

saludos

entonces la ram no es una memoria "volatil" ya que aun estando fria esta misma almacena informacion

posiblemente el voltaje residual de la mother la mantiene viva, por otro lado creo que es ineviable que muchos conductores mantengan la carga electrica

hablando del tema energía también eh leído que puede pasar varios minutos en que los datos desaparezcan de ella aun estando sin energía.

posiblemente porque las cargas no se van tan facil... fijate el ejemplo de la estatica, frotas un globo contra un cojín y la carga estática durará algún rato en el, supongo que en la ram es algo similar

si se reinicia rápidamente, si no se altera demasiado la memoria (por la carga del kernel necesario) es posible recuperar información sensible.

ejemplo de pérdida de datos con un lapso de corte de energía de 5, 30, 60seg y 5 minutos.
(http://osarena.net/wp-content/uploads/2012/08/ColdBootAttack.png)

XD

De adonde sacaste eso?, que imágenes tan importantes  ;-) ;-) ;-) ;-) ;-) que representación de ellas, en cuanto a linux lo del volcado será a causa de la partición SWAP?

hola .:UND3R:. no, es volcado directo de ram (el swap es una memoria de intercambio, algo así como el de paginación de windows; la utiliza el sistema en casos puntuales para evitar cuelges por agotamiento de memoria)

la idea se basa en la energía que queda remanente en el dispositivo, si bien las memorias dram necesitan de pulsos para fijarse los bits, toda la tensión se va perdiendo gradualmente. (muy rápido, para ser sincero, pero no es instantáneo, ahí está la posibilidad...)

hay varias herramientas, algunas para linux otras corren excelente en windows, básicamente es cargar un kernel de arranque, muy pequeño (para no pisar demasiados datos) volcar la memoria a una unidad, y luego operar sobre esos datos, o mejor dicho, con una copia de esos datos.
(procedimiento similar a la forensis de un rígido, dos copias, trabajas sobre la primera, una de reserva por la dudas y el disco original no se toca. si arruinas la segunda copia, generas una nueva de la de reserva, y operas con esa tercera)

luego con esa imagen vas utilizando diferentes aplicaciones para intentar obtener algo coherente. la imagen que adjunté es para simbolizar o intentar representar la importancia del tiempo al respecto.

si bien hubo algún revuelo durante muchos años sobre si ya existía la posibilidad de obtenr datos desde la memoria volátil, por lo que tengo entendido recién hace 6 años en una universidad de prestigio allá por el estado new jersey salió un paper al respecto, con contenido muy recomendable (según me dijeron...  :silbar:)

Hay algun tipo de solucion para este pequeño problema?|

en realidad "el arranque en frío" como indica devilhands corresponde seguramente a alguna mal traducción del procedimiento, el mismo se complementa con enfriar rápidamente los módulos para evitar la degradación de los datos... se presenta el riesgo al arrancar "en caliente"...

por lo cual básicamente, no. si se tiene acceso físico al computador, se está en el horno, valga el juego de palabras! XD

mmm... así a lo bruto sin analizarlo detenidamente ya que estoy con unos líos en el trabajo, mmm... iniciar un script antes del apagado definitivo del computador, donde se sobre escriba el módulo con ceros...? por lo menos iniciarlo desde la parte alta hasta donde se pueda de la memoria baja... no sé...

(agrego) no no, es una burrada, no funcionaría... colgaría la pc antes del apagado por lo cual quedaría información... por ejemplo en la parte baja lo correspondiente al cifrado del duro...

otra... algún "flasheo" por hard iniciado al editar la sentencia de apagado como "init 0"? pero tanbién es una burrada, porque fatigaría innecesariamente el módulo...

(esta es la que va :D) o sino.. quitar los módulos al apagarlo, algo así como una usbram key XD creo que es la única más fácil de implementar y que nos deje tranquilos, saludos!

Y que con quitarle la energia no basta?

si tomamos lo de "quitar la energía" como cuando se descarga un condensador (lo que indicaba si mediante hard luego de apagarse se intentaba descargar) podría funcionar supongo, aparte de los problemas de implementación seguro algún especialista en electrónica nos refutará el razonamiento; si te refieres a simplemente apagarlo, no.

siempre y cuando hablemos de tiempos muy pequeños... segundos... que se ralentizan mediante bajas temperaturas... estamos hablando en el hipotético caso de "secuestro" de un equipo, y que uno apagando piensa que con eso se puede quedar tranquilo... XD
ya con tiempos mayores, la degradación de datos no permitiría obtener nada coherente. por lo menos hasta donde entiendo. saludos

si, la muerte en ram entre todo es muy rapida XD serían las fuerzas de la autoridad tumbando puerta y metiendo tus ram en nitrogeno liquido de inmediato XD

Jajaj sip! Hay tambien unos aerosoles para tal fin, pero igualmente su precio es... picante XD

Osea que aun apagando el ordenador y quitando  la electricidad pasara un tiempo hasta que la contraseña del cifrado desaparezca de la ram?

así es devilhands. un tiempo muy corto, pero tiempo al fin. saludos