Κλέβουν κωδικούς ακόμη και από κλειστούς υπολογιστές

[Xenios]

Στέλνω αυτό το θέμα με επιφυλάξεις.

Να κλέψουν κωδικούς ασφαλείας από τη μνήμη ακόμη και κλειστών υπολογιστών φαίνεται ότι μπορούν οι επιτήδειοι, μέχρι και μία ώρα αφότου ο χρήστης αποσυνδεθεί από τον λογαριασμό του σε κάποιο κοινωνικό δίκτυο όπως το facebook ή σε ηλεκτρονικό ταχυδρομείο, όπως gmail και hotmail. Την έρευνα πραγματοποίησε το Δημοκρίτειο Πανεπιστήμιο Θράκης. Οι ειδικοί συνιστούν πάντως να βγάζουμε τον υπολογιστή από την πρίζα, ενώ πιο επικίνδυνοι θεωρούνται οι φορητοί υπολογιστές.

Πιο ευάλωτος σε σχέση με τον Internet Explorer, αποδεικνύεται ο περιηγητής ιστοσελίδων (browser) Firefox, καθώς δεν διαγράφει (zero-out) τους κωδικούς ασφαλείας των χρηστών, όπως δήλωσε στο ΑΠΕ-ΜΠΕ η Σταυρούλα Καραγιάννη του Δημοκρίτειου Πανεπιστημίου Θράκης (ΔΠΘ), επικαλούμενη τα αποτελέσματα μελέτης, που περιλάμβανε 65 σχετικούς ελέγχους, στο διάστημα 2009-2010.

«Στο 56% των τεστ που κάναμε, μπορέσαμε να ανακτήσουμε κωδικούς από τη μνήμη των κλειστών υπολογιστών, 15 λεπτά - σε μία περίπτωση ακόμη και 60 λεπτά - αφότου ο χρήστης αποσυνδέθηκε και έκλεισε τη μονάδα. Πιο επικίνδυνοι από αυτή την άποψη φαίνεται ότι είναι οι φορητοί υπολογιστές - laptop και netbook - που διαθέτουν μπαταρία, ενώ ο χρόνος εντός του οποίου κάποιος μπορεί να ανακτήσει στοιχεία εξαρτάται από τον τύπο της μνήμης RAM, αλλά και από εξωγενείς παράγοντες, όπως η θερμοκρασία του χώρου όπου βρίσκεται ο υπολογιστής», σημείωσε η Στ. Καραγιάννη, η οποία μαζί με τον επίκουρο καθηγητή του ΔΠΘ Βασίλειο Κάτο, μίλησε για το θέμα στο συνέδριο των πανεπιστημίων Μακεδονίας και ανατολικού Λονδίνου για την ασφάλεια του Διαδικτύου και την ηλεκτρονική δημοκρατία, στη Θεσσαλονίκη.

Διευκρίνισε δε, ότι δεν επρόκειτο για «υποκλοπή» στοιχείων εξ αποστάσεως, αλλά από τους ίδιους τους (κλειστούς) υπολογιστές, που είχαν προηγουμένως χρησιμοποιήσει οι χρήστες του Διαδικτύου. Μάλιστα, για την ανάκτηση στοιχείων όπως οι κωδικοί ασφαλείας, δεν χρειάζονται εξαιρετικές δεξιότητες, επιπέδου χάκερ (hacker), αλλά αρκούν οι προχωρημένες γνώσεις πληροφορικής.

Πηγή και πλήρες άρθρο στην Ελευθεροτυπία

Σχόλιο : Φαντάζομαι υπονοεί τις επιλογές στον firefox και στην επιλογή ασφάλειας, εμφανίζει τους κωδικούς (η μεγαλύτερη βλακεία που έχω δει στον firefox) ή τα cookies.

[Maria.]

Αρχική Δημοσίευση από Xenios Στέλνω αυτό το θέμα με επιφυλάξεις. Να κλέψουν κωδικούς ασφαλείας από τη μνήμη ακόμη και κλειστών .

Ας μου εξηγήσει κάποιος ποια μνήμη είναι αυτή που κρατά δεδομένα ενώ είναι κλειστός ο υπολογιστής. Η RAM δεν το κάνει ή έχει αλλάξει κάτι;

Να θυμηθώ να βγάλω από την πρίζα τον υπολογιστή μου αν δεχτώ επίσκεψη ατόμων με γνώσεις υπολογιστών.

[Gildor]

Αρχική Δημοσίευση από Maria. Ας μου εξηγήσει κάποιος ποια μνήμη είναι αυτή που κρατά δεδομένα ενώ είναι κλειστός ο υπολογιστής. Η RAM δεν το κάνει ή έχει αλλάξει κάτι;

Με απλα λογια (οχι για να το καταλαβεις εσυ, αλλα επειδη εγω δεν ξερω πιο πολλες λεπτομερειες :Ρ):

Υπαρχουν δυο επιλογες οταν κλεινεις τον υπολογιστη σου: hibernation και suspend. Και στις δυο περιπτωσεις αποθηκευεται μια εικονα της εργασιας σου στη μνημη. Στην πρωτη περιπτωση αποθηκευεται στο σκληρο δισκο και ο υπολογιστης σβηνει εντελως. Στη δευτερη περιπτωση παραμενει στην RAM με τη διαφορα οτι ο υπολογιστης διατηρειται σε κατασταση ημιλειτουργιας.

Για παραδειγμα, εαν βγαλεις την πριζα ενω ο υπολογιστης ειναι σε suspend, ειναι σαν να εβγαλες την πριζα ενω λειτουργουσε: οταν τον αναψεις θα κανει παλι εκκινηση απο την αρχη (Δε θα συνεχισει απο το σημειο που εκανες το suspend).

Βασικα δεν αλλαξε κατι στη φυση της RAM

(καλω τους πλεον ειδημονες σε περιπτωση που εγραψα ανακριβειες )

[Xenios]

Αρχική Δημοσίευση από Gildor Στην πρωτη περιπτωση αποθηκευεται στο σκληρο δισκο και ο υπολογιστης σβηνει εντελως. Στη δευτερη περιπτωση παραμενει στην RAM με τη διαφορα οτι ο υπολογιστης διατηρειται σε κατασταση ημιλειτουργιας.

xωρίς και να είμαι απόλυτα σίγουρος, αναφέρεται στους browsers και ειδικά στον Firefox, που κρατάει ιστορικό συνθημάτων και τα εμφανίζει κιόλας.

Αυτό είναι ιδιαίτερα επικίνδυνο, για όσους συνδέονται από internet cafe.
Αφ' ενός θα πρέπει να εμποδίσει την αποθήκευση cookies και αφ' ετέρου να σβήνει κάθε ιστορικό. Άλλωστε εύκολο είναι.

Φυσικά δεν αποθηκεύομαι κωδικούς σε ξένα μηχανήματα.

[dimitrios83]

Άς απαντήσω και εγώ χωρίς-επίσης-να είμαι ειδικός

Αρχική Δημοσίευση από Xenios xωρίς και να είμαι απόλυτα σίγουρος, αναφέρεται στους browsers και ειδικά στον Firefox, που κρατάει ιστορικό συνθημάτων και τα εμφανίζει κιόλας.

Δεν το ξέρω αυτό, αλλά χρησιμοποιώ ένα προγραμματάκι το ccleaner που μεταξύ άλλων διαγράφει το ιστορικό και τα cookies

Αρχική Δημοσίευση από Xenios Αυτό είναι ιδιαίτερα επικίνδυνο, για όσους συνδέονται από internet cafe.

Σίγουρα είμαι της άποψης πως θέλει ιδιαίτερη προσοχή όταν βρισκόμαστε σε ξένο/κοινοχρηστο υπολογιστή. Όσο αφορά όμως τους Η/Υ των νετ καφές, αρκετοί απο δαύτους απ΄όσο ξέρω χρησιμοποιούν το deep freeze το οποίο δεν επιτρέπει την αποθήκευση κωδικών.

[Archmage]

Αρχική Δημοσίευση από Maria. Ας μου εξηγήσει κάποιος ποια μνήμη είναι αυτή που κρατά δεδομένα ενώ είναι κλειστός ο υπολογιστής. Η RAM δεν το κάνει ή έχει αλλάξει κάτι;

Η RAM το κάνει. Χωρίς την πηγή της πληροφορίας (*) δεν μπορώ να καταλάβω τι ακριβώς εννοεί το συγκεκριμένο άρθρο, αν και οι αναφορές σε τύπο μνήμης και θερμοκρασία δείχνουν πως δεν εννοεί το hibernation ή την τυποποιημένη δυνατότητα αποθήκευσης κωδικών του firefox αλλά (κυριολεκτικά) τη διακοπή της παροχής ρεύματος. Τα περί facebook που λέει είναι για τη δημιουργία εντυπώσεων (η RAM δεν ξέρει τι σημαίνει facebook).

Προσωπικά δε θα έδινα σημασία, διότι υπάρχουν αμέτρητες άλλες πηγές ανασφάλειας, αλλά δεδομένου ότι είμαι άσχετος με το θέμα κάνε ότι καταλαβαίνεις




(*) δηλαδή την επιστημονική δημοσίευση

[Nikoscot]

Και εγώ χρησιμοποιώ το ccleaner. Πολυ καλό αν και δεν το χρησιμοποιώ για να καθαρίζω το ιστορικό και cookies αλλά για διάφορα "σπασμένα links αρχείων" ή κάτι τέτοιο τελος πάντων.

[dimitrios83]

Εγώ πάλι έχω ενεργοποιήσει-σχεδόν-όλες τις επιλογές και ό,τι σβήσει σβήσει! :-Ρ

[Morgul]

Αρχική Δημοσίευση από Xenios Στέλνω αυτό το θέμα με επιφυλάξεις.

Λογικό, δεδομένου ότι ο συντάκτης δεν ξέρει καν ελληνικά και δε γνωρίζει τη διαφορά των επιθέτων «κλειστός» και «σβηστός». Μάθημα ελληνικών νηπιαγωγείου, λοιπόν.

«Ο υπολογιστής είναι ανοικτός». Σημαίνει: έχω βγάλει το κάλυμμά του, ή, σε laptop, έχω ανοίξει το καπάκι και/ή έχω βγάλει το κάλυμμα.

«Ο υπολογιστής είναι κλειστός». Το αντίθετο.

«Ο υπολογιστής είναι αναμμένος». Βρίσκεται σε κατάσταση λειτουργίας.

«Ο υπολογιστής είναι σβηστός». Βρίσκεται εκτός κατάστασης λειτουργίας.

Οι κουτόφραγκοι, που έχουν «λεξιλόγιο 20 λέξεων», καταφέρνουν να μη συγχέουν τις λέξεις αυτές. Εμείς, με «λεξιλόγιο δισεκατομμυρίων», γιατί χρησιμοποιούμε την ίδια λέξη για δύο τόσο διαφορετικά πράγματα; Δεν ανοίγουμε κεριά και δεν ανάβουμε παράθυρα.

Οκ, τέλος μαθήματος. Σε πιο προχωρημένα πράγματα τώρα.

Αρχική Δημοσίευση από Maria. Ας μου εξηγήσει κάποιος ποια μνήμη είναι αυτή που κρατά δεδομένα ενώ είναι κλειστός ο υπολογιστής. Η RAM δεν το κάνει ή έχει αλλάξει κάτι; Να θυμηθώ να βγάλω από την πρίζα τον υπολογιστή μου αν δεχτώ επίσκεψη ατόμων με γνώσεις υπολογιστών.

Για αρχή, παίρνω το θάρρος να χώσω την τεράστια μύτη μου στη συζήτηση επειδή αυτή είναι η δουλειά μου και το μόνο πράγμα που ξέρω καλά.

Όλα τα είδη μνήμης έχουν ως κύριο χαρακτηριστικό την συγκράτηση δεδομένων. Τα περισσότερα είδη κρατάνε τα δεδομένα τους και όταν είναι σβηστά. Υπήρξε δε, τουλάχιστον ένα είδος RAM (μνήμη πυρήνων) που δεν έχανε τα δεδομένα του χωρίς ρεύμα.

Στις σύγχρονες μνήμες DRAM, το ηλεκτρικό ρεύμα χρησιμοποιείται μόνο για να αλλάξει κατάσταση σε ένα bit (από 0 σε 1, ή από 1 σε 0). Η ίδια η κατάσταση αποθηκεύεται όχι με ηλεκτρικό ρεύμα αλλά με ηλεκτρικό φορτίο σε ένα απίστευτα μικρό πυκνωτή. Οι πυκνωτές γενικά τείνουν να κρατήσουν το φορτίο τους όταν δεν είναι συνδεδεμένοι σε κύκλωμα. Στη DRAM είναι, οπότε το φορτίο χάνεται σταδιακά. Μία διάταξη σε hardware και/ή software στον Η/Υ σου (ή, πρόσφατα, στο ίδιο το chip μνήμης σε κάποιες περιπτώσεις), ξαναφορτίζει τους πυκνωτές χιλιάδες (πλέον μπορεί να είναι και εκατομμύρια) φορές του δευτερόλεπτο. Αυτό το λένε «refresh». Το D (dynamic) στο DRAM σημαίνει ακριβώς αυτό το χαρακτηριστικό.

Αν αφαιρέσεις την τροφοδοσία από ένα ολοκληρωμένο κύκλωμα DRAM, αυτό που σταματάς είναι (α) την αλλαγή κατάστασης (δε μπορείς να αλλάξεις τα αποθηκευμένα δεδομένα), και (β) δε δουλεύει πια το refresh. Χωρίς το refresh, οι πυκνωτές δεν ξαναφορτίζονται, και σιγά σιγά (ή γρήγορα γρήγορα, ανάλογα με το είδος) η μνήμη χάνει τα δεδομένα της.

Προφανώς, παρ'όλο που πρέπει να τα ανανεώνεις χιλιάδες/εκατομμύρια φορές το δευτερόλεπτο, οι πυκνωτές κρατάνε αρκετό φορτίο στην πράξη, για να διατηρούν κάποια δεδομένα για κάποιο ανθρώπινα μετρήσιμο χρονικό διάστημα (λεπτά, όχι πικοδευτερόλεπτα). Ενδιαφέρον.

Πάντως υπάρχουν άλλα είδη RAM (static RAM, SRAM) στα οποία η κατάσταση αποθηκεύεται με ηλεκτρικό ρεύμα σε feedback loop (κλασσικός μηχανισμός μνήμης) και όταν αφαιρέσεις την τροφοδοσία χάνεται. Επίσης, όταν της επιστρέψεις την τροφοδοσία, τα δεδομένα μηδενίζονται η γίνονται όλα 1 ανάλογα με το κύκλωμα. Αλλά η SRAM είναι πολύ πιο ακριβή από τη DRAM και οι σύγχρονοι Η/Υ δεν έχουν βοηθητικά κυκλώματα για την άμεση χρήση της οπότε δε θα βρεις Η/Υ με SRAM ως κεντρική μνήμη.

[Morgul]

Αρχική Δημοσίευση από Archmage Προσωπικά δε θα έδινα σημασία, διότι υπάρχουν αμέτρητες άλλες πηγές ανασφάλειας, αλλά δεδομένου ότι είμαι άσχετος με το θέμα κάνε ότι καταλαβαίνεις

Ακριβώς. Η ασφάλεια είναι ισορροπία πιθανοτήτων. Αν μένεις σε δάσος σε σεισμογενή χώρα, θα ασφαλίσεις το σπίτι σου για φωτιά και σεισμό. Η πιθανότητα πτώσης μικρού αστεροειδούς στη γειτονιά σου ή η επίθεση από ζόμπι είναι πράγματα για τα οποία μπορεί να μη θες να πληρώσεις μια και το κόστος υπερβαίνει το κέρδος.

Αν κάποιος έχει πρόσβαση να ανοίξει έναν Η/Υ, να αφαιρέσει τη μνήμη, να την βάλει σε ειδική συσκευή ανάγνωσης, να την ανάψει και να τη διαβάσει, τότε έχει επίσης πρόσβαση και στο δίσκο σου — απίστευτα πλουσιότερη πηγή προσωπικών δεδομένων.

Αρχική Δημοσίευση από dimitrios83 Εγώ πάλι έχω ενεργοποιήσει-σχεδόν-όλες τις επιλογές και ό,τι σβήσει σβήσει! :-Ρ

Αν δεν έχεις κρυπτογραφημένο δίσκο, τότε το σβήσιμο δε βοηθάει υποχρεωτικά.

[dimitrios83]

Αρχική Δημοσίευση από Morgul Αν δεν έχεις κρυπτογραφημένο δίσκο, τότε το σβήσιμο δε βοηθάει υποχρεωτικά.

Δηλαδή; Τι μπορώ να κάνω εγώ;

[Archmage]

Αρχική Δημοσίευση από Morgul Αν κάποιος έχει πρόσβαση να ανοίξει έναν Η/Υ, να αφαιρέσει τη μνήμη, να την βάλει σε ειδική συσκευή ανάγνωσης, να την ανάψει και να τη διαβάσει, τότε έχει επίσης πρόσβαση και στο δίσκο σου — απίστευτα πλουσιότερη πηγή προσωπικών δεδομένων.

Μπορεί να το κάνει και χωρίς να τον ανοίξει, ξεκινώντας (boot) δικά του εργαλεία για memory imaging πχ από usb stick.

Αρχική Δημοσίευση από Morgul Αν δεν έχεις κρυπτογραφημένο δίσκο, τότε το σβήσιμο δε βοηθάει υποχρεωτικά.

Όπως λέει και μια σχετικά πρόσφατη δημοσίευση από πολύ γνωστό πανεπιστήμιο για το θέμα [1], δεν υπάρχει καμία πρακτική / εύκολη μέθοδος για να αντιμετωπιστεί το πρόβλημα, διότι αφορά το hardware και όχι το software.

Ανακάλυψαν λοιπόν ότι ακόμα και η κρυπτογράφηση του δίσκου δε βοηθά, διότι τα κλειδιά [2] πρέπει να αποθηκευτούν κάποια στιγμή στη μνήμη. Πχ με σχετικά απλό πρόγραμμα μπόρεσαν να ανακτήσουν το AES256 κλειδί και να διαβάσουν αμέσως δίσκο που είχε TrueCrypt. Περιγράφουν και τον αλγόριθμο εύρεσης του κλειδιού στη μνήμη.

Με χρήση προχωρημένων τεχνικών ψύξης τα δεδομένα μένουν στη μνήμη για ώρες. Αλλά και με χρήση ενός φτηνότατου εμπορικού προϊόντος (κόστους λίγων ευρώ) μπόρεσαν να μεγαλώσουν το χρονικό διάστημα διατήρησης των δεδομένων στη μνήμη σε "αρκετά λεπτά" μετά το power off. Χαριτωμένο.

Αρχική Δημοσίευση από dimitrios83 Δηλαδή; Τι μπορώ να κάνω εγώ;

Τίποτα, μη σε απασχολεί το θέμα εκτός αν έχεις αρχείο με τις κινήσεις του Καντάφι. Και τότε δε θα το είχες καν στον υπολογιστή σου, σωστά;

Διευκρίνιση: Η όλη ιστορία δεν έχει σχέση με σβησμένα αρχεία, καλάθι αχρήστων, ιστορικό Internet, cookies, ccleaner, facebook, κωδικών του firefox κλπ.



[1] την οποία δεν μπορώ να αναφέρω διότι περιέχει πληροφορίες που μπορει ενδεχομένως να παραβιάζουν τη νομοθεσία περί cracking κλπ.

[2] του συστήματος αρχείων, όχι του facebook

[Morgul]

Είναι φοβερά ενδιαφέρον, αλλά νομίζω ότι είναι κάπως ανεύθυνο να του κοτσάρεις μερικά buzzwords όπως Facebook και να το ξαμολάς σε εκλαϊκευμένη μορφή — εκτός κι αν προσπαθείς να δημιουργήσεις βλακώδεις πανικούς.

Αρχική Δημοσίευση από Archmage Μπορεί να το κάνει και χωρίς να τον ανοίξει, ξεκινώντας (boot) δικά του εργαλεία για memory imaging πχ από usb stick.

Πράγματι, εφ'όσον φυσικά δέχεται ότι με το POST, boot, κλπ θα καλυφθεί σεβαστό ποσοστή της μνήμης με νέα δεδομένα. Ειδικά σε λειτουργικά όπως το Linux, που τείνουν να χρησιμοποιούν σχεδόν όλη την ελεύθερη μνήμη για disk cache αμέσως μετά το boot, δημιουργεί δυσκολίες. Προφανώς θα πρέπει να είναι ένα raw boot program για δουλέψει χωρίς memory management tools και χωρίς λειτουργικό. Κάτι σαν το memtest, φαντάζομαι.

Επίσης, υπάρχουν ΠΟΛΛΕΣ λύσεις για αυτό το πρόβλημα. Πχ δε χρειάζεται να διαβάζεις ολόκληρο το σύνθημα: μπορείς να το διαβάζεις χαρακτήρα-χαρακτήρα (στην ίδια διεύθυνση) και να κατασκευάζεις το σχετικό κρυπτογραφικό hash σταδιακά. Φυσικά το hash μπορεί να υποκλαπεί μετά (και ο τελευταίος χαρακτήρας του συνθήματος), αλλά με challenge-response authentication και τις περισσότερες άλλες σύγχρονες μεθόδους authentication, το hash token δεν είναι πολλαπλών χρήσεων (συνήθως κρατάει μερικά λεπτά). Σε σενάριο υποκλοπής από τη μνήμη, δηλαδή, είναι άχρηστο.

Επίσης, υπάρχει και το ζήτημα του όγκου πληροφοριών. Ένα σύνθημα κάπου στη μνήμη δε μπορεί απλώς να βρεθεί. Πρέπει να ξέρεις ακριβώς πού βρίσκεται (πχ στατικά δεδομένα γύρω του, όπως πχ username=Morgul&password=), οπότε μπορεί δυνητικά να δουλέψει μόνο αν έχουμε συγκεκριμένες γνώσεις και ανάγκες. Δε μπορείς απλώς να τρέξεις ένα πρόγραμμα και να σου φτύσει μια λίστα με sites, usernames και συνθήματα.

Επίσης, υπάρχουν και memory controllers και buses κλπ που κρυπτογραφούν τα δεδομένα στο δρόμο για τη μνήμη, και τα αποκρυπτογραφούν στο δρόμο για τον επεξεργαστή. Το XBox δεν έκανε κάτι τέτοιο;

Όπως και να'χει, αν κάποιος έχει υλική πρόσβαση στον Η/Υ σου, η μη πτητικότητα της μνήμης είναι το λιγότερο. Μπορείς να μαζέψεις πολύ πιο χρήσιμα πράγματα με άλλες μεθόδους.

[Morgul]

Επίσης, αν κάνεις shutdown/hibernate (αλλά όχι suspend), μπορείς να γράψεις έναν απλό kernel driver που καθαρίζει όλη τη μνήμη αμέσως πριν το power down. Ένα Loop Είναι (© Moukas).

[Xenios]

Αρχική Δημοσίευση από Morgul Ένα Loop Είναι (© Moukas).

Η Μούκιος ρήση πάντως ήταν : «Ένα if είναι».