« Video des Meizu M8 dem chinesischen iPhone Sie lebt noch: Sega Dreamcast deluxe auf eBay entdeckt! »

Bootable USB Stick findet Passwörter im RAM

Dienstag, den 4. März 2008 um 15:01

Ist das RAM nach dem Kaltstart wirklich leer?
Viele Leute glauben, dass mit dem Ausschalten des Computers auch der flüchtige RAM Speicher geleert wird. Aber dies ist so nicht korrekt, denn auch das RAM unterliegt bestimmten physikalischen Gesetzen. McGew Security stellt auf seinem Blog ein bootfähigen USB Stick vor, der nach einem Kaltstart encryption Keys (Passwörter) aus dem Ram wieder herstellen kann.

Bereits in einem Whitepaper einiger Wissenschaftler der Princeton University, machten diese auf diese neue Sicherheitslücke aufmerksam, bei der ein Angreifer diesem Umstand ausnutzen könnte. In einem einfachen Experiment lässt sich dies schnell nachvollziehen:

Erstelle ein Programm mit Phyton oder auch mit VI oder VIM:

#!/usr/bin/env python

# a pirate's favorite chemical element
a = ""
while 1: a += "ARGON"

Das Programm schreibt das Wort Argon fortlaufend in die Variable A. Dadurch wird der Speicher mit dem Wort Argon gefüllt.
Nun einfach das Kommando sync starten um gespeicherte Daten auf die Fesplatte zu flushen.
Nun starte wieder Deinen Phyton, VI oder VIM und warte einige Minuten. Nach einiger Weile sollte die Festplatte wieder aktiv werden, da diese wieder Daten flushed.
Schalte nun einfach Deinen Rechner ab “hart” in dem Du den Stecker ziehst.
Nach dem Reboot verwende einfach folgendes Programm um im Speicher nach dem Wort Argon zu suchen:

sudo strings /dev/mem | less

Wenn Du nun das Wort Aragon findest, hat das Experiment geklappt.. Es kann auch sein, dass Du einige Segmente findest, die aus der Zeit vor dem Reboot stammen.

Was ist die Theorie dahinter?
Das RAM ist tatsächlich ein “flüchtiger” Speicher. Jedoch “verflüchtigt” sich der Inhalt des RAMs nach einer bestimmten Zeit ohne Energie - er “faded” aus. Dieses “fading” ist abhängig von dem Typ des verbauten Speichers und der Umgebungstemperatur. So wäre es möglich, den Arbeitsspeicher aus einem Laptop auszubauen - und diesen in ein präpariertes, Baugleiches Gerät einzusetzen ohne Datenverlusste. Die Vorraussetzung dieses “Hacks” besteht aus einer Dose Kältespray, mit der der Datendieb den Arbeitsspeicher besprüht hat. Der so gekühlte Speicher “faded” langsammer aus. So bleiben die Daten bei Zimmertemperatur bis zu 10 Minuten komplett ohne “Fading” erhalten.

Zum Download für Freaks
Gibt es die bootfähige Version des SysLinux mit msramdmp hier:

msramdmp.tar.gz - The compiled com32 executable, ready for use with SysLinux. Also, the C source code is included, along with some things needed to compile and link it properly.
syslinux-3.61.tar.gz - This is the exact version of SysLinux that I’m using here. You’ll need this to prepare a USB drive for capturing RAM, and to compile modifications to the msramdmp source.

USB RAM DRIVE DMP

Achtung!
Wir übernehmen keinerlei Garantie für Anleitung und Experimente!

Teile und hab Spaß

Tags: attack, Bootable, cold, disk, encryption, Flashdrive, HACK, msramdmp, Password, Passwort, Stick, USB

Der Beitrag wurde am Dienstag, den 4. März 2008 um 15:01 Uhr veröffentlicht und wurde unter Allgemein, Gadgets, Tools and Geek- und Nerdstuff, USB Sicherheit abgelegt. du kannst die Kommentare zu diesen Eintrag durch den RSS 2.0 Feed verfolgen. du kannst einen Kommentar schreiben, oder einen Trackback auf deiner Seite einrichten.

Bootable USB Stick findet Passwörter im RAM

Einen Kommentar schreiben

Ähnliche Beiträge