Die Spannungsversorgung zu kappen oder einen Reset zu erzwingen, klingt nicht gerade nach einer forensisch einwandfreien Prozedur zur Sicherung des Hauptspeichers. Doch die Forschung präsentiert hier einige verblüffende Ergebnisse.
Richard McQuown beschreibt in seinem Blog die Guillotine als letzten Ausweg, wenn sich kein anderer Zugang zum Hauptspeicher bietet. Seine Prozedur besteht darin, die Stromversorgung der Festplatte(n) zu kappen, während Microsoft Windows ausgeführt wird. Schreibzugriffe sind dann schon einmal nicht mehr möglich. Im nächsten Schritt wird dann der Resettaster betätigt oder der Computer schnell aus- und wieder eingeschaltet. Möglicherweise erkennt Windows den Verlust des Systemvolumes und kommt einem mit einem Bluescreen zuvor. In jedem Fall wird nun schnell von einem USB-Wechselmedium, einer CD oder DVD ein vertrauenswürdiges und kleines (!) Betriebssystem gestartet. Anschließend lässt sich dann der Arbeitsspeicher mit dd oder einem ähnlichen Programm sichern.
Man mag kaum an den Erfolg einer derartigen Prozedur glauben. Der Hauptspeicher eines Computers besteht aus dynamischem RAM (DRAM). Im Gegensatz zu statischem RAM (SRAM) muss sein Inhalt in regelmäßigen Abständen aufgefrischt werden - andernfalls verliert er die gespeicherten Daten. Die Informationen werden als elektrische Ladungen in Feldeffekt-Transistoren gespeichert. Sobald die Stromversorgung und Taktsignale unterbrochen werden, beginnen sie, sich zu entladen. Das allerdings braucht seine Zeit.
Auf der USENIX Security 2007 berichteten Frank Adelstein (ATC-NY) und Golden G. Richard III (Universität von New Orleans) in ihrem Live Forensics Tutorial, dass markierte Speicherinhalte auf einem IBM T30 selbst dann noch festgestellt werden konnten, nachdem das Gerät 30 Sekunden stromlos war.
Dieses Zeitfenster hat nun das Center for Information Security Policy der Princeton University in den Bereich von Minuten und Stunden erweitert. Die Forscher kühlten einen Speicherriegel auf -50 °C und fanden, dass er auch nach 10 Minuten ohne Strom nur weniger als 1% seiner Daten verloren hatte. Als Kühlmittel diente hier übrigens ein relativ preisgünstiges Druckluft-Spray. Die Dose wurde lediglich mit der Öffnung nach unten gehalten, um den Speicher mit der "flüssigen Luft" einsprühen zu können.
Bei Kühlung der Speicherchips mit flüssigem Stickstoff (ca. -196 °C) gingen über den Zeitraum von 60 Minuten sogar nur 0,17% der Daten verloren.
Die folgende Filmsequenz zeigt den schleichenden Verlust von Speicherinhalten bei fortschreitender Zeit. Nach Mitteilung der Autoren ist für die Zebrastreifen übrigens das Design der Speicherchips verantwortlich. In den einzelnen Zonen wird eine logische Eins jeweils alternierend durch Anwesenheit und Abwesenheit von Ladungen dargestellt.
Den vollständigen Film und einen ausführlichen Artikel gibt es auf den Webseiten der Forscher.
