Cold Boot Attack to kolejna metoda wykorzystywana do kradzieży danych. Jedyną wyjątkową rzeczą jest to, że mają bezpośredni dostęp do sprzętu komputerowego lub całego komputera. Ten artykuł mówi o tym, czym jest Cold Boot Attack i jak chronić się przed takimi technikami.

Co to jest atak zimnym butem?

W przypadku ataku zimnego rozruchu^{(Cold Boot Attack)} lub ataku resetowania platformy^{(Platform Reset Attack,)} osoba atakująca, która ma fizyczny dostęp do komputera, wykonuje zimny restart w celu ponownego uruchomienia komputera w celu pobrania kluczy szyfrowania z systemu operacyjnego Windows

Uczyli nas w szkołach, że pamięć RAM^(RAM) ( Random Access Memory ) jest ulotna i nie może przechowywać danych, gdy komputer jest wyłączony. To, co powinni byli nam powiedzieć, powinno było… nie można przechowywać danych przez długi czas, jeśli komputer jest wyłączony^{(cannot hold data for long if the computer is switched off)} . Oznacza to, że pamięć RAM^(RAM) nadal przechowuje dane od kilku sekund do kilku minut, zanim znikną z powodu braku zasilania. Przez bardzo krótki okres każdy, kto dysponuje odpowiednimi narzędziami, może odczytywać pamięć RAM^(RAM) i kopiować jej zawartość do bezpiecznej, stałej pamięci masowej za pomocą innego lekkiego systemu operacyjnego na pamięci USB^(USB) lub karcie SD^{(SD Card)} . Taki atak nazywa się atakiem zimnego rozruchu.

Wyobraź sobie komputer leżący bez nadzoru w jakiejś organizacji przez kilka minut. Każdy haker musi po prostu ustawić swoje narzędzia na miejscu i wyłączyć komputer. Gdy pamięć RAM^(RAM) stygnie (dane powoli zanikają), haker podłącza bootowalną pamięć USB^(USB) i uruchamia się przez nią. Może skopiować zawartość do czegoś podobnego do tej samej pamięci^(USB) USB.

Ponieważ natura ataku polega na wyłączeniu komputera, a następnie użyciu wyłącznika zasilania do jego ponownego uruchomienia, nazywa się to zimnym rozruchem. Być może nauczyłeś się zimnego i ciepłego rozruchu we wczesnych latach komputerowych. Zimny ​​rozruch to miejsce, w którym uruchamiasz komputer za pomocą włącznika zasilania. Ciepły rozruch to miejsce, w którym można skorzystać z opcji ponownego uruchomienia komputera za pomocą opcji ponownego uruchomienia w menu zamykania.

Zamrażanie pamięci RAM

To kolejna sztuczka na rękawach hakerów. Mogą po prostu rozpylić jakąś substancję (na przykład: ciekły azot^{(Liquid Nitrogen)} ) na moduły pamięci RAM^(RAM) , aby natychmiast zamarzły. Im niższa temperatura, tym dłużej pamięć RAM^(RAM) może przechowywać informacje. Korzystając z tej sztuczki, oni (hakerzy) mogą pomyślnie przeprowadzić atak zimnego rozruchu^{(Cold Boot Attack)} i skopiować maksymalne dane. Aby przyspieszyć ten proces, używają plików automatycznego uruchamiania w lekkim systemie^(System) operacyjnym na pamięciach USB^{(USB Sticks)} lub kartach SD, które są uruchamiane wkrótce po wyłączeniu zhakowanego komputera.

Kroki w ataku zimnym butem

Niekoniecznie każdy używa stylów ataku podobnych do tego podanego poniżej. Jednak większość typowych kroków jest wymieniona poniżej.

1. Zmień informacje o systemie BIOS , aby najpierw zezwolić na rozruch z USB
2. Włóż^(Insert) rozruchowy port USB^(USB) do danego komputera
3. Wyłącz komputer na siłę, aby procesor nie miał czasu na demontaż kluczy szyfrowania lub innych ważnych danych; Wiedz, że prawidłowe zamknięcie może również pomóc, ale może nie być tak skuteczne, jak wymuszone zamknięcie przez naciśnięcie klawisza zasilania lub inne metody.
4. Tak szybko, jak to możliwe, używając wyłącznika zasilania do zimnego rozruchu komputera, który został zhakowany
5. Ponieważ ustawienia BIOS zostały zmienione, system operacyjny na pamięci USB^(USB) jest ładowany
6. Nawet gdy ten system operacyjny jest ładowany, automatycznie uruchamiają procesy w celu wyodrębnienia danych przechowywanych w pamięci RAM^(RAM) .
7. Wyłącz komputer ponownie po sprawdzeniu pamięci docelowej (w której przechowywane są skradzione dane), wyjmij pamięć USB OS^{(USB OS Stick)} i odejdź

Jakie informacje są zagrożone w atakach zimnym butem^{(Cold Boot Attacks)}

Najczęściej zagrożone informacje/dane to klucze szyfrowania dysków i hasła. Zwykle celem ataku zimnego rozruchu jest nielegalne pobranie kluczy szyfrowania dysku, bez autoryzacji.

Ostatnie rzeczy, które mogą się wydarzyć podczas prawidłowego zamykania, to odmontowanie dysków i użycie kluczy szyfrowania do ich zaszyfrowania, więc możliwe jest, że jeśli komputer zostanie nagle wyłączony, dane mogą nadal być dla nich dostępne.

Zabezpieczanie się przed atakiem zimnym butem^{(Cold Boot Attack)}

Na poziomie osobistym możesz upewnić się, że pozostaniesz w pobliżu komputera przez co najmniej 5 minut po jego wyłączeniu. Dodatkowo jednym środkiem ostrożności jest prawidłowe wyłączenie za pomocą menu wyłączania, zamiast ciągnięcia przewodu elektrycznego lub używania przycisku zasilania do wyłączania komputera.

Nie możesz wiele zrobić, ponieważ w dużej mierze nie jest to kwestia oprogramowania. Wiąże się to bardziej ze sprzętem. Dlatego producenci sprzętu powinni podjąć inicjatywę usunięcia wszystkich danych z pamięci RAM^(RAM) tak szybko, jak to możliwe po wyłączeniu komputera, aby uniknąć i chronić Cię przed atakiem zimnego rozruchu.

Niektóre komputery nadpisują teraz pamięć RAM^(RAM) przed całkowitym wyłączeniem. Mimo to zawsze istnieje możliwość wymuszonego wyłączenia.

Technika używana przez funkcję BitLocker polega na użyciu kodu PIN^(PIN) w celu uzyskania dostępu do pamięci RAM^(RAM) . Nawet jeśli komputer był w stanie hibernacji (stan wyłączenia komputera), gdy użytkownik się obudzi i spróbuje uzyskać dostęp do czegokolwiek, najpierw musi wprowadzić kod PIN^(PIN) , aby uzyskać dostęp do pamięci RAM^(RAM) . Ta metoda również nie jest niezawodna, ponieważ hakerzy mogą uzyskać kod PIN^(PIN) za pomocą jednej z metod wyłudzania informacji^(Phishing) lub inżynierii społecznej^{(Social Engineering)} .

Streszczenie

Powyższe wyjaśnia, czym jest atak zimnego rozruchu i jak działa. Istnieją pewne ograniczenia, z powodu których nie można zaoferować 100% bezpieczeństwa przed atakiem zimnego rozruchu. Ale z tego, co wiem, firmy zajmujące się bezpieczeństwem pracują nad znalezieniem lepszego rozwiązania niż po prostu przepisywanie pamięci RAM^(RAM) lub używanie kodu PIN^(PIN) do ochrony zawartości pamięci RAM^(RAM) .

Teraz przeczytaj^{(Now read)} : Co to jest atak surfingowy^{(What is a Surfing Attack)} ?

What is a Cold Boot Attack and how can you stay safe?

Cold Boot Attack is yet another method used to steal data. The only thing special is that they have direct access to your computer hardware or the whole computer. This article talks about what is Cold Boot Attack and how to stay safe from such techniques.

What is Cold Boot Attack

In a Cold Boot Attack or a Platform Reset Attack, an attacker who has physical access to your computer does a cold reboot to restart the machine in order to retrieve encryption keys from the Windows operating system

They taught us in schools that RAM (Random Access Memory) is volatile and cannot hold data if the computer is switched off. What they should have told us should have been …cannot hold data for long if the computer is switched off. That means, RAM still holds data from few seconds to few minutes before it fades out due to lack of electricity supply. For an ultra-small period, anyone with proper tools can read the RAM and copy its contents to a safe, permanent storage using a different lightweight operating system on a USB stick or SD Card. Such an attack is called cold boot attack.

Imagine a computer lying unattended at some organization for a few minutes. Any hacker just has to set his tools in place and turn off the computer. As the RAM cools down (data fades out slowly), the hacker plugs in a bootable USB stick and boots via that. He or she can copy the contents into something like the same USB stick.

Since the nature of the attack is turning off the computer and then using the power switch to restart it, it is called cold boot. You might have learned about cold boot and warm boot in your early computing years. Cold boot is where you start a computer using the power switch. A Warm Boot is where you use the option of restarting a computer using the restart option in the shutdown menu.

Freezing the RAM

This is yet another trick on the sleeves of hackers. They can simply spray some substance (example: Liquid Nitrogen) on to RAM modules so that they freeze immediately. The lower the temperature, the longer RAM can hold information. Using this trick, they (hackers) can successfully complete a Cold Boot Attack and copy maximum data. To quicken the process, they use autorun files on the lightweight Operating System on USB Sticks or SD Cards that are booted soon after shutting down the computer being hacked.

Steps in a Cold Boot Attack

Not necessarily everyone uses attack styles similar to the one given below. However, most of the common steps are listed below.

1. Change the BIOS information to allow boot from USB first
2. Insert a bootable USB into the computer in question
3. Turn off the computer forcibly so that the processor doesn’t get time to dismount any encryption keys or other important data; know that a proper shutdown may too help but may not be as successful as a forced shut down by pressing the power key or other methods.
4. As soon as possible, using the power switch to cold boot the computer being hacked
5. Since the BIOS settings were changed, the OS on a USB stick is loaded
6. Even as this OS is being loaded, they autorun processes to extract data stored in RAM.
7. Turn off the computer again after checking the destination storage (where the stolen data is stored), remove the USB OS Stick, and walk away

What information is at risk in Cold Boot Attacks

Most common information/data at risk are disk encryption keys and passwords. Usually, the aim of a cold boot attack is to retrieve disk encryption keys illegally, without authorization.

The last things to happen when in a proper shutdown are dismounting the disks and using the encryption keys to encrypt them so it is possible that if a computer is turned off abruptly, the data might still be available for them.

Securing yourself from Cold Boot Attack

On a personal level, you can only make sure that you stay near your computer until at least 5 minutes after it is shut down. Plus one precaution is to shut down properly using the shutdown menu, instead of pulling the electric cord or using the power button to turn off the computer.

You can’t do much because it is not a software issue largely. It is related more to the hardware. So the equipment manufacturers should take the initiative to remove all data from RAM as soon as possible after a computer is turned off to avoid and protect you from cold boot attack.

Some computers now overwrite RAM before completely shut down. Still, the possibility of a forced shutdown is always there.

The technique used by BitLocker is to use a PIN to access RAM. Even if the computer has been hibernated (a state of turning off the computer), when the user wakes it up and tries to access anything, first he or she has to enter a PIN to access RAM. This method is also not fool-proof as hackers can get the PIN using one of the methods of Phishing or Social Engineering.

Summary

The above explains what a cold boot attack is and how it works. There are some restrictions due to which 100% security cannot be offered against a cold boot attack. But as far as I know, security companies are working to find a better fix than simply rewriting RAM or using a PIN to protect the contents of RAM.

Now read: What is a Surfing Attack?

Related posts

• Jak ręcznie włączyć Retpoline w systemie Windows 10?

• Jak zgłosić błąd, problem lub lukę w zabezpieczeniach firmie Microsoft

• Ataki, zapobieganie i wykrywanie luk w zabezpieczeniach DLL Hijacking

• Rozszerzenie przeglądarki CSS Exfil Protection oferuje atak podatności CSS Exfil

• Skaner domowy Bitdefender: Skanuj swoją sieć domową w poszukiwaniu luk

• Jak uruchomić system Windows do oprogramowania układowego UEFI lub BIOS?

• Windows nie uruchamia się; Automatyczna naprawa podczas uruchamiania, resetowanie komputera nie powiodło się, przechodzi w pętlę

• Zaawansowane opcje rozruchu w MSCONFIG w Windows 11/10 wyjaśnione

• Jak naprawić Start PXE przez IPv4 w Windows 11/10?

• Aplikacja nie została poprawnie zainicjowana (0xc0000135)

• Napraw PXE-E61, błąd testu nośnika, sprawdź błąd rozruchu kabla w systemie Windows 11/10

• Utwórz dysk flash USB MultiBoot za pomocą YUMI Multiboot USB Creator

• Odinstaluj aktualizację jakości lub funkcji, gdy system Windows 11/10 nie uruchamia się

• Napraw kod błędu płyty głównej 99 na komputerach z systemem Windows

• Wersja systemu operacyjnego jest niezgodna z funkcją Startup Repair

• Kamera FaceTime nie działa w systemie Windows 10 z Boot Camp

• Włącz ochronę przed błędami sprawdzania procesora Intel®

• Jak uruchomić rozruch i wykonać śledzenie rozruchu w systemie Windows 10?

• Zmień kierunek przewijania gładzika Mac w konfiguracji podwójnego rozruchu systemu Windows

• Napraw błąd 1962, nie znaleziono systemu operacyjnego na komputerach z systemem Windows 11/10