He escuchado que si tu PC está apagada, un atacante puede recuperar la RAM de la última sesión. Encuentro esto difícil de creer. ¿Cómo podría hacerse?
Hay un elemento de verdad en este caso: se descubrió un ataque que aprovechó la remanencia de datos en la RAM, lo que permite a un atacante capturar datos de la RAM en una máquina. Hubo un período de tiempo muy corto (en cuestión de segundos o minutos) para hacer esto, pero no fue un hack de la PC como tal.
Enlace simple de Wikipedia a Ataque de arranque en frío aquí
Y el enlace de McGrew aquí con más detalles
Sí, pero el término 'apagado' puede ser confuso.
Una computadora necesita energía para funcionar, esto lo sabes. Una PC se alimenta desde la pared en CA (corriente alterna) pero las partes de la computadora requieren CC (Corriente directa). Dentro de la PC de escritorio hay una fuente de alimentación que convierte CA en CC. Mientras la PC de escritorio esté conectada a la pared, siempre recibe alimentación de CA.
En los primeros días, una PC tenía una fuente de alimentación "AT" con un interruptor en la parte frontal. La fuente de alimentación de tipo 'AT' tenía un interruptor de botón que detuvo la alimentación de CC. El problema con esto era que los usuarios apagaban la computadora mientras estaba escribiendo en el disco duro. Desconectar la alimentación durante la escritura en el disco duro causaría que el disco duro se dañe.
Entonces, la próxima iteración del diseño de PC tenía una fuente de alimentación ATX. En este diseño, la fuente de alimentación conectada a la placa base y el interruptor en la parte frontal de la PC se conectaron a la placa base. Para el diseño ATX, al presionar el interruptor de apagado se envía una señal a la placa base, el sistema operativo lee la señal en la placa base y envía una señal a la fuente de alimentación.
La fuente de alimentación tiene múltiples salidas de CC. El disco duro (y disquete) usaba 12 voltios. La CPU tomó 5 voltios y luego 3.3 voltios. Los diferentes voltajes son independientes, por lo que se pueden apagar diferentes partes de la computadora mientras otras partes están encendidas.
Cuando presiona el botón de encendido en la parte frontal de la PC o selecciona el apagado del sistema operativo, siempre hay al menos uno o dos componentes con alimentación. Como mínimo, el circuito de la placa base que recibe la señal del botón de encendido y la transmite a la fuente de alimentación debe estar encendido y siempre y cuando el PC esté enchufado a la pared.
El componente en cuestión es la RAM (en realidad DRAM), y no es fácil saber si la alimentación de la RAM está apagada o qué método para apagar la computadora detendrá el suministro de alimentación a la RAM.
La única forma de estar absolutamente seguro de que no hay energía en la RAM es desconectar la PC de la pared.
Mientras se suministre energía a la RAM, la RAM conservará el contenido de lo último que haya en ella.
Cuando la RAM se retira del poder, los conentos comienzan a decaer y en algún momento se vuelven ilegibles. La temperatura tiene un impacto en la rapidez con que los datos en la memoria RAM se desintegran. Bajar la temperatura ralentizará la descomposición de los datos. Un simple "aire comprimido" al revés permitirá que un atacante enfríe la RAM a una temperatura que le permita reiniciar la máquina con un sistema operativo personalizado diseñado para extraer el contenido de la RAM.
Este ataque solo requiere un CD / DVD o unidad flash USB de arranque y un plumero de aire comprimido.
La RAM en una PC es DRAM : cada bit se almacena en lo que equivale a un condensador muy pequeño, que gotea. Es por eso que la DRAM se debe "actualizar" regularmente. Se garantiza que la DRAM típica conserva un bit dado durante al menos 64 ms, pero, en la práctica, un bit dado puede durar más tiempo, hasta varios minutos, dependiendo notablemente de la temperatura.
Consulte la parte inferior de la página de Wikipedia para obtener más información.
Además, muchas máquinas (computadoras de escritorio y portátiles) tienen un "modo de suspensión" en el que la CPU está apagada pero la RAM todavía está encendida; este es el modo desde el cual se puede "despertar" la máquina sin pasar por todo el procedimiento de arranque. Parece que las paradas reales se han convertido en una rareza en la actualidad. En tal modo, los contenidos de RAM se conservan, por definición, extendiendo los "varios minutos" anteriores a duraciones arbitrarias.
Le sugiero que mire estos dos artículos. Son bastante técnicos, pero explican mucho en el nivel bajo.
Si también está buscando una contramedida, le sugeriría
Personalmente he realizado el Ataque de arranque en frío antes, definitivamente funciona. Me referí principalmente al papel de arranque en frío de Princeton y al < a href="http://mcgrewsecurity.com/oldsite/tools/msramdmp/"> enlace de McGrew
Utilicé hielo seco, cuídese de la condensación (use tejido para limpiar) ya que la memoria RAM es más fría que el aire circundante. El período de tiempo en el que se tira y se conecta la RAM es de unos 5 a 15 segundos.
Lea otras preguntas en las etiquetas hardware data-leakage memory