On Thu, 26 Apr 2012, Robert J. Newmark wrote:
> On Thu, Apr 26, 2012 at 09:52:20AM +0200, Marco Bertorello wrote:
> > 2012/4/20 Fabio Pietrosanti (naif) <lists@???>:
> > > Hai mai sentito parlare di cold-boot attack?
> >
> > comunque, anche se il filesystem del test non era criptato,
> > all'interno del dump non ci ho trovato granchè di interessante,
> > nessuna password per esempio.
> >
>
>
> nemmeno io ho esperienza, ma se hai un fs criptato , in memoria hai la
> chiave per decriptarlo.. quella che usa l'OS, quindi da li il problema
> e' solo dove trovare la porzione di memoria con questa chiave, ma credo
> che non sia cosi' difficile, avra' un header da qualche parte e con un
> po di data mining la becchi, e ho il fs criptato aperto...
passi un filtro su tutta la base dati facendo una media sull'entropia
usando un filtro Shannon. qui c'e' un'implementazione in C abbastanza
veloce, ma stiamo sempre a livello di reference code
http://libdisorder.freshdefense.net
conta che tutto quello che e' crittato ha un'entropia molto alta,
mentre il resto dei dati in chiaro hanno pattern piu' armonici
cmq queste sono proprio le basi eh
ciao
