Se você não estiver usando memória RAM antiga como DDR2, 512 MB ou 1024 MB, não deve se preocupar com o CBA.
Dê uma olhada na pesquisa original aqui (PDF).
Se você for ler com atenção, descobrirá que apenas DDR2 e mais antigos são propensos a esse ataque. DDR3 perde tensão muito rápido para permitir que o computador desmonte e congele o procedimento. Então, basta puxar o plugue antes de atender a porta.
Além disso, este documento confirma que DDR3 não é suscetível a um CBA. Se, de fato, você quiser se proteger, porque tem RAM DDR2, ative na BIOS:
- Autostart after Power loss
- Verificação de RAM no momento da inicialização
e faça o mesmo que com o DDR3, mas depois de puxar o plugue, conecte-o novamente. O seu computador iniciará automaticamente e limpará o ram, verificando-o. Se ele não for limpo com eficiência suficiente, o processo de inicialização carregará o sistema na RAM novamente. Será rápido demais para permitir o CBA.
No link que você forneceu nos comentários:
Therefore, in conclusion, the cold boot attack should not be viewed as the primary method for acquiring a suspect computer system’s memory. Instead, other techniques including both software and hardware-based acquisition (i.e. FireWire) should be attempted prior to carrying out a cold boot attack against said system. However, should a situation occur where the aforementioned techniques are either not available (i.e. lack of FireWire connection or system login console or remote memory acquisition is not possible) or are ineffectual, then the cold boot attack may be administered assuming that the investigator understands both how and where problem may arise and go awry.
As this study has shown, the cold boot attack cannot be established as being particularly forensically sound or reliable since in most of the experiments conducted herein memory-resident encryption keys could not be consistently found or extracted although they should have been. The same can also be said for the various strings and keyword searches which should have turned up far more strings and keywords than were found for most of the experiments. Moreover, as has been demonstrated, merely the act of flash-freezing computer memory does not guarantee the successful acquisition of said memory. Other factors and variables already examined have fully examined these issues and their underlying causes. Thus, it is the opinion of the authors of this study that the cold boot attack can be useful in some cases to acquire a suspect system’s memory but that this method should not be considered a panacea and instead should be used as a last resort when all other avenues have been exhausted.
Finally, even a successful acquisition which has suffered little to no degradation will likely not stand up in a court of law as sound evidence, at least until jurisprudence has occurred and the integrity of the acquired memory can be demonstrated to be intact using a sound and understandable methodology. The search continues to establish a more proper and reliable way of acquiring the memory of a suspect’s computer...
Além disso, se você verificar os resultados da experiência, perceberá que eles extraíram com sucesso as chaves AES apenas no sistema 2 e 6 e que foram ataques de inicialização a quente quando você olha as especificações do sistema 2 - 1024 MB RAM 533 MHz - isso é coisa velha. O outro sistema - sistema 6 com 256 RAM / 128 RAM - eu acho que este é auto-explicativo.
É exatamente por isso que a conclusão deles foi:
The search continues to establish a more proper and reliable way of acquiring the memory of a suspect’s computer...
Na verdade, creio que, se você tiver dados muito, muito, muito importantes, você deve não apenas usar a Criptografia de Unidade Completa, mas também mantê-la em um arquivo criptografado separado. Criptografado com algoritmos em cascata e uma senha diferente daquela usada durante a criptografia de disco. Você quer uma maneira segura de desligar o PC? Aqui está:
- Mantenha dados seguros no arquivo criptografado do algoritmo em cascata True Crypt
- Use serpente
- Crie um script para lidar com o encerramento:
Para o Windows:
truecrypt.exe /wipecache
shutdown -s -f -t 1
Para Linux:
truecrypt /wipecache
shutdown -h now
Limpar o cache garante que nenhum dado vulnerável permaneça na RAM após o desligamento. Se alguém executar o Cold Boot Attack, eles terão acesso ao seu Sistema na melhor das hipóteses. Eles não terão dados armazenados em um arquivo criptografado separadamente.