A probléma:
Eddig ez volt (ezt hitték az emberek): Az adatok titkosítva vannak a lemezen valamilyen szoftverrel. Ellopják a gépet, nem tudnak hozzáférni az adatokhoz, mert nincs meg a kulcs.
Most ez van: Ellopsz egy olyan gépet, amelyik fut, de mondjuk be van kapcsolva a képernyőkímélő, (azaz le van lock-olva) mert hosszabb ideig magára hagyták. Elvileg nem tudsz belépni, mert nem tudod a jelszót. Ha reboot-olsz, akkor meg nem tudsz hozzáférni az adatokhoz a titkosítás miatt. Azoban a lemeztitkosítást már feloldotta az user, hiszen fut az OS. A kulcs a memóriában. Ez kell neked. Szépen fogod az ellopott gépet, lejegeled a memóriát, hogy az hosszú ideig megtartsa a tartalmat, kiveszed, átteszed egy másik gépbe (vagy akár ugyanazon a gépen), a memória dumperrel lemented a memória tartalmát, megkeresed a kulcsot, vissza a memóriát az eredeti gépbe, bekapcsolod, megadod a key-t, elindul a rendszer. És már hozzá is fértél a hiperszuper titkos adatokhoz. Magyarul a technika megmutatja (legalábbis ezt állítják), hogy a napjaink (legtöbb) lemeztitkosításai (dm-crypt, Bitlocker, FileVault) szart sem érnek.
--
trey @ gépház