当你关机时,内存中储存的临时数据如网页上使用的登录密码、你的银行或者其他金融账号是否会立即消失?不,没这么快!希腊的研究人员发现一个安全漏洞,可以从利用电脑内存来提取密码和其他敏感数据,即使是在待机模式下。
在即将发行的国际电子安全和数字取证杂志上,塞萨洛尼基的马其顿大学的Christos Georgiadis和他的同事Stavroula Karayianni以及克桑西的色雷斯-谟克利特大学的vasilios Katos将展示了数据取证专家如何通过他们的发现来进行数据取证以及犯罪分子如何收集个人资料和银行信息。
研究人员指出,大多数计算机用户认为他们关机后,内存(RAM)中的所有数据会被自动删除,内存主要用于储存进程的临时数据。RAM通常被称为非***性存储器(闪存),因为RAM中所有数据在关机时会消失。事实上,RAM中所有数据消失是在断开电源后;所以数据只是在断电情况下是非***性存储的。
同时,Georgiadis和他的同事认为在不断电情况下关机,内存中的数据并没有立即消失。数据取证专家和犯罪分子可以借此访问最近使用的程序的数据。只有在使用计算机进行一个新的大数据调用才能完全复写内存中的数据,简单的关闭电源对于用户来说毫无安全性和隐私性。
团队认为“ 随着远程分布式系统的流行,需要进行采集和分析的嫌疑人的电脑内存数据不断增多,内存数据逐渐成为一个重要的证据来源”。因为它可以包含访问网络的历史记录和登录框及在线表单中的未加密密码。
团队在一些常见情景下,例如登入Facebook,Gmail,MSN和Skype进行了测试,在计算机已经关闭后对内存进行数据分析。在5、15和60分钟之后收集内存中的数据碎片,然后利用数据修复工具拼接数据片段提取信息,他们成功恢复了之前在firefox阅览器中登陆的GMail、Facebook和Hotmail的登陆信息以及winrar中文件压缩数据。研究小组认为“我们可以得出这样的结论:内存必须在一定条件下才能完全移除数据,所以内存数据可以为数据取证提供一个有价值的来源”。
