Effacer la RAM à l'exctinction de l'ordinateur !?

Support Debian
#1

Bonjour :slightly_smiling:

J’ai cherché pas mal d’heures sur le web comment chercher à effacer la RAM de façon sécurisé à l’arrêt/reboot d’un os debian, et il y a pas grand choses sur le net qui explique comment bien faire cela!! :frowning:

Mais j’ai enfin trouvé comment faire tout cela en prenant exemple sur le livecd TAILS (tails.boum.org) ca devrait être facile vu qu’il est en + basé sur debian!

Donc voici, tout est expliqué ici: tails.boum.org/forum/Ram_Wipe_Script/

Par contre je ne sais pas comment faire pour mettre ceci en place sur un os debian de base, ca devrait être très simple pour quelqu’un qui s’y connait un peu, pourriez vous m’expliquer svp? :slightly_smiling:

#2

Bonjour,

Aucune idée, mais vu que Tails est basée sur Debian… J
e vais explorer la piste.

Peux tu nous en dire plus sur les “mesures” de sécurité que tu compte mettre en place ?

Le fait d’avoir une installation avec LVM chiffré ne serais-t-il pas plus intéressant ? (je test cela actuellement, mais j’ignore si les données dans la RAM sont en clair ou chiffrées).

Cordialement

#3

en ram ??? ben si tu coupes l’alimentation,et pas juste le pc c’est pas un problème… même je croit pas que la ram contienne encore des information valide par la suite.

#4

[quote]La mémoire vive, mémoire système ou mémoire volatile, aussi appelée RAM de l’anglais Random Access Memory (que l’on traduit en français par mémoire à accès direct1 ), est la mémoire informatique dans laquelle un ordinateur place les données lors de leur traitement. Les caractéristiques de cette mémoire sont :

sa rapidité d'accès (cette rapidité est essentielle pour fournir rapidement les données au processeur) ;
sa volatilité (cette volatilité implique que les données sont perdues dès que l'ordinateur cesse d'être alimenté en électricité).

[/quote]

#5

[quote=“misaine”][quote]La mémoire vive, mémoire système ou mémoire volatile, aussi appelée RAM de l’anglais Random Access Memory (que l’on traduit en français par mémoire à accès direct1 ), est la mémoire informatique dans laquelle un ordinateur place les données lors de leur traitement. Les caractéristiques de cette mémoire sont :

sa rapidité d'accès (cette rapidité est essentielle pour fournir rapidement les données au processeur) ;
sa volatilité (cette volatilité implique que les données sont perdues dès que l'ordinateur cesse d'être alimenté en électricité).

[/quote][/quote]

Information au sujet “RAM” ici, ici,

#6

Sur le papier la ram est volatile, les données se dégradent… ok
Dans la pratique nous avons un LiveCD qui se propose néanmoins d’effacer la ram !
Pourquoi ?
Simple gadget ?

#7

#8

Haha oui j’avais vu cette vidéo, mais bon.
En revanche un support crypté sur un portable (ou dd externe, clé usb…) me semble plus justifié en cas de vols…
Merci pour l’info.

Cordialement

#9

#10

Bonjour wofy
J’ai également tout crypter sur une install toute fraiche de Arch (sauf la swap - j’en ai pas !).

A part le cryptage, et les addons de firefox/iceweasel (no script, addblock/+,…),
quelles mesures de sécurité prenez-vous ? Appliquez vous des certaines directive du manuel de sécurité Debian (pour un Desktop, j’entend)? Antivirus clamav ?

Je me rends compte que j’aurai peut-être dû ouvrir un topic sur la sécurité, milles excuses. :blush:

#11

paquet secure-delete contenant:
sdmem
srm
sswap

sdmem is designed to delete data which may lie still in your memory (RAM) in a secure manner which can not be recovered by thiefs, law enforcement or other threats. Note that with the new SDRAMs, data will not wither away but will be kept static - it is easy to extract the necessary information! The wipe algorythm is based on the paper "Secure Deletion of Data from Magnetic and Solid-State Memory" presented at the 6th Usenix Security Sympo‐ sium by Peter Gutmann, one of the leading civilian cryptographers.

Après, comment l’itiliser, c’est une autre histoire :stuck_out_tongue:

#12

[quote=“Harty_Show”]paquet secure-delete contenant:
sdmem
srm
sswap

sdmem is designed to delete data which may lie still in your memory (RAM) in a secure manner which can not be recovered by thiefs, law enforcement or other threats. Note that with the new SDRAMs, data will not wither away but will be kept static - it is easy to extract the necessary information! The wipe algorythm is based on the paper "Secure Deletion of Data from Magnetic and Solid-State Memory" presented at the 6th Usenix Security Sympo‐ sium by Peter Gutmann, one of the leading civilian cryptographers.

Après, comment l’itiliser, c’est une autre histoire :stuck_out_tongue:[/quote]

$ man sdmem $ man srm $ man sswap
:wink:

#13

,

#14

[quote=“youki”]

$ man sdmem $ man srm $ man sswap
:wink:[/quote]

Je ne parle pas de la syntax, mais de la façon d’utiliser ces tools (si on créé un script d’init “on” dans les runlevel 0 et 6, a quel moment le lancer sans vautrer les autres processus, enfin voilà quoi ^^) :stuck_out_tongue:

#15

[quote=“Cyrillique”]Sur le papier la ram est volatile, les données se dégradent… ok
Dans la pratique nous avons un LiveCD qui se propose néanmoins d’effacer la ram !
Pourquoi ?
Simple gadget ?[/quote]

Bonjour Cyrillique,
Un liveCD est comme son nom l’indique en un système temps réel ce qui signifie que :
Pour que le système fonctionne il a besoin d’écrire des fichiers quelque part (les fichiers temporaires ou autres) donc,
les écritures de fichiers se font en ram et pour les accès système l’os se réfère au support (donc le lecteur dvd ou clé usb), le fait de nettoyer la ram consiste à faire un effacement des fichiers inutiles dans ton os (donc la ram), ce qui dans notre cas en revient a faire de la place sur le disque :wink:
Effacer les fichiers inutiles, vider le cache

#16

Bonjour,
Certaines réponses, pourtant sur un sujet récent et au goût du jour des connaissances actuelles, font froid dans le dos.
La mémoire actuelle a une persitance de quelques minutes à chaud, plusieurs heures à froid. Le but de chercher à “vider” la RAM c’est pour ne pas laisser tout ce qui serait du genre clé de chiffrement même après extinction. Pas de rapport avec de la libération d’espace mais bel et bien ne pas laisser des données sensibles qui fusilleraientt toute la protection mise en oeuvre.
Je planche sur le sujet depuis quelques semaines, et avant d’en avoir fait le tour, y’a rien de parfait à 100% à moins de tout maitriser ce qui n’est jamais possible, mais le bon scénario à retenir est de se demander quoi mettre en oeuvre pour avoir des activités répréhensibles et que les services de police ne puissent pas retrouver vos données.
On peut chiffrer tout ce qu’on veut si la clé est récupérée t’es mort. Ca passe par une simple clé usb avec l’outil qui va bien sur un reboot. A la maison comme chez un hébergeur.

Pour la question de base, les outils donnés plus haut sont les bons, faut inclure ça dans le système au bon endroit. Le facteur limitant est le temps d’éxécution qui ne permet pas de le faire à tout moment. Toute opération qui fait appel à une clé devrait nécessiter un petit nettoyage après utilisation. On peut identifier facilement: reboot par principe, clé privée, clé de chiffrement de volume entre autres.
Sans parler de paranoia, maintenant qu’on sait que la RAM peut livrer ses secrets, tout accès physique à la machine est à prévoir sans quoi ça ne sert à rien (un exemple, votre hébergeur favori a-t-il besoin des ports usb? ), ne jamais faire confiance, penser au pire (si on me demande ma clé je fais quoi)

#17

Bonjour,

[quote]It is important to note that TrueCrypt is disk encryption software, which encrypts only disks, not RAM (memory).

Keep in mind that most programs do not clear the memory area (buffers) in which they store unencrypted (portions of) files they load from a TrueCrypt volume. This means that after you exit such a program, unencrypted data it worked with may remain in memory (RAM) until the computer is turned off (and, according to some researchers, even for some time after the power is turned off*). Also note that if you open a file stored on a TrueCrypt volume, for example, in a text editor and then force dismount on the TrueCrypt volume, then the file will remain unencrypted in the area of memory (RAM) used by (allocated to) the text editor. This applies to forced auto-dismount too. [/quote]

secure.wikimedia.org/wikipedia/ … oot_attack

Plus de détails: tails.boum.org/contribute/desig … y_erasure/

Voila pourquoi.

J’ai déja trouvé la solution pour effacer la RAM de la meilleur façon qu’il soit à l’extincition/reboot de l’OS:

[quote] * An initscript used to start kexec at the end of the shutdown process
* A Hook to initramfs to include sdmem, and a script to be included in this initramfs. This script is controlled by options defined in a Debian /etc/default file.

So the process is quite simple. At the end of the shutdown process, the last initscript that is executed is the tails-kexec one, which executes a kexec passing the right options to the “sdmemed” initramfs.

The use of this kexec trick is the only we’ve found to be sure to wipe all the non-kernel ram memory. Otherwise it’s quite complicates to know how much userland memory has to be wiped.[/quote]

Par contre je ne sais pas comment mettre cela en oeuvre sous debian, je n’ai pas les connaissances/compétences, mais ca semble être très simple pour quelqu’un qui s’y connait un mimimum… donc si quelqu’un pouvait m’expliquer comment faire ce serait sympa et ca profiterais à beaucoup d’entre nous! :slightly_smiling:

#18

Sur la lecture de la RAM à des fin d’investigations, il y a un excellent numéro de MISC en kiosque (il me semble que c’est un hors série).
Mais bon, lire àlaRAM après extinction de l’ordi, c’est loin d’être à la portée de tout le monde. Il suffit de monter la garde à coté de l’ordi 5 mn aprés l’extinction, et surveiller que personne n’y touche :slightly_smiling:.
Et encore, il faut vraiment avoir quelque chose d’extrèmement répréhensible pour en avoir peur.

#19

Salut,

[quote=“piratebab”]Sur la lecture de la RAM à des fin d’investigations, il y a un excellent numéro de MISC en kiosque (il me semble que c’est un hors série).
Mais bon, lire àlaRAM après extinction de l’ordi, c’est loin d’être à la portée de tout le monde. Il suffit de monter la garde à coté de l’ordi 5 mn aprés l’extinction, et surveiller que personne n’y touche :slightly_smiling:.
Et encore, il faut vraiment avoir quelque chose d’extrèmement répréhensible pour en avoir peur.[/quote]

Je suis aussi de cet avis, c’est se compliquer la vie pour pas grand chose quand même…
Tu bosses à la CIA au Mossad ou un truc de ce genre peut-être ?

T’imagine te faire tirer ton portable et justement tomber sur un type capable (en moins de 5 mn) de lire le contenu de ta RAM ?
Jack Bauer avec l’aide de Chloe O’Brian peut-être… :mrgreen: :005

#20