Da sempre si è pensato che il componente più a rischio da attacco informatico sia il disco rigido, purtroppo non sempre è così.

Il componente incolpato di tale falla è la RAM (Random Access Memory – memoria ad accesso casuale).

Per chi non lo sapesse la RAM è una memoria di tipo volatile in cui vengono caricati i programmi in esecuzione, dati per il sistema operativo, chiavi di crittazione per l’hard-disk,password e tanto altro ancora.

La RAM funziona in modo che i bit 0 e 1 siano associati alla carica elettrica dei singoli moduli.

Con il passare del tempo la carica di ogni modulo decade, allora entra in funzione il refresh della RAM che ricarica tutti i moduli mantenendo l’informazione contenuta in essi.

L’università di Princeton, in California, ha effettuato questo studio dimostrando l’insicurezza di un computer spento.

Si è scoperto che le cariche dei moduli della RAM si scaricano lentamente dopo che il viene spento.

Ma il problema è: quanto tempo impiegano le cariche a scaricarsi?

In media la temperatura della RAM allo spegnimento è di circa 35° – 40°, a queste temperature impiega all’incirca 60 secondi prima che la carica decada.

I ricercatori america hanno scoperto che più si abbassa la temperatura e più il tempo di scaricamento della carica e quindi dell’informazione aumenta.

Diminuendo ancora la temperatura si ha la media di 2 minuti a -50° con una percentuale di fallimento del raffreddamento prossima allo zero.

In alcuni casi, i moduli più vecchi di RAM mantengono l’informazione per 6 minuti a -50°.

Raffreddare la memoria volatile a – 50° non è difficile, basta acquistare una bomboletta di aria compressa al supermercato e spruzzarla su di essa.

Utilizzando l’azoto liquido a -196° le informazioni restano in memoria per alcune ore.

Gli errori che si generano dallo scaricamento della carica si possono correggere analiticamente con metodi (CRC,checksum,ecc.).

Quindi le informazioni sensibili sarebbero a rischio.

Per effettuare questa operazione bisognerebbe disporre fisicamente il personal computer o notebook che sia.

I nostri calcolatori mantengono le informazioni in RAM anche in stand-by.

Una volta che si ha il pc sotto mano bisogna evitare che il bios o il sistema operativo sovrascriva i dati presenti in RAM.

Per farlo si utilizza il Cold Boot Attack cioè si forza ad uno spegnimento il computer ad esempio togliendo la batteria.

Successivamente bisogna recuperare i dati dalla RAM utilizzando un software apposito.

Questo piccolo software deve essere di dimensioni contenute perché sarà caricato sulla RAM stessa e non deve sovrascrivere troppi dati.

I ricercatori di Princeton hanno pensato anche a questo creando un applicazione stand-alone molto leggera e che può essere avviato da rete PXE, da disco USB o da EFI impostando il BIOS perché effettui il boot da rete o da periferica esterna.

Alcuni però inseriscono una password all’interno del BIOS per evitare che venga modificato e allora cosa possiamo fare?

Semplice, si installano i moduli di memoria su un altra macchina e si effettua ugualmente l’operazione.

Analizzando l’immagine della RAM si può anche riconoscere la chiave di crittazione del disco anche con programmi come Microsoft BitLocker, Apple FileVault e TrueCrypt.

La chiave che verrà estratta sarà crittografata ma si è visto come molto probabilmente, attraverso calcoli crittografici si riesca a risalire alle chiavi nel 98% dei casi.

Come proteggersi?

-Cancellando la ram all’avvio, impostando il bios.

-Impedendo l’avvio da rete o dispositivi esterni, sempre da bios.

-Tenere d’occhio il sistema per qualche minuto allo spegnimento.

-Impedire l’accesso fisico ai moduli di memoria.