Bir  önceki konuya benzer olarak; Ayrıntılarını aşağıdaki filmden görebileceğiniz çalışmada olay şu: Ram bellek bilgisayar kapandıktan sonra da üzerindeki bilgileri bir süre muhafaza etmeye devam eder. Kapasitif yöntemle depolama yapan DDR RAM’lerde veri, kapasitörler deşarj olunca tamamen yok olmuş olur. RAM’in çok düşük sıcaklılarda soğutulması ise deşarjı yavaşlatır, bu da RAM üzerindeki verilerin farklı bir ortama aktarılması için yeterli süreyi sunabilir.


Filmdeki saldırı örneğinde saldırgan; kilitli vaziyette (windows parolalı oturum açma ekranında) başı boş bırakılan bir dizüstünün RAM’ini dondurduktan sonra yerinden çıkartıp kendi bilgisayarına takıyor ve RAM’i içindeki veriyi kendi bilgisayarına kopyalıyor. RAM verisi içinde neler olabilir dersiniz? Programlara ve web sayfalarına enson girdiğiniz parolalar, disk şifreleme yazılımınızın şifreleme anahtar, yazdığınız mesajlar, gönderdiğiniz iletiler vs…


Çok kötü; BitLocker, FileVault, dm-crypt, and TrueCrypt gibi şifreleme yazılımlarına girdiğiniz parolalarınız da programın veri hafızasında saklandığı için tehlike var. TruCrypt’de bu durum için bir koruma önlemi düşünülmüşse de  yeterli değil.  TrueCrypt‘de Settings->Preferences ekranının Password Cache gurubunda yer alan “Wipe cached passwords on auto-dismount” ve “Wipe cached passwords on Exit” seçeneklerini işaretlemeniz bir nebze olsun yararlı olacaktır.


Bu yöntem adli yetkililer tarafından kullanılır mı bilmem ama suç şüphesi bulunan ve daha sonra (bilgisayarı kapattıktan sonra) elde etmesi imkansız olabilecek (şifrelenmiş disk bölümleri ve şifreli dosyalar) verileri gün ışığına çıkarmak için kullanılabilecek bir yöntem.


1 YORUM

CEVAP VER

This site uses Akismet to reduce spam. Learn how your comment data is processed.