A Cold Boot Attack^{(Cold Boot Attack)} egy újabb módszer az adatok ellopására. Az egyetlen különlegesség az, hogy közvetlen hozzáféréssel rendelkeznek a számítógép hardveréhez vagy az egész számítógéphez. Ez a cikk arról szól, hogy mi az a Cold Boot Attack , és hogyan maradhat biztonságban az ilyen technikákkal szemben.

Mi az a Cold Boot Attack

Cold Boot Attack vagy Platform Reset Attack esetén^{(Platform Reset Attack,)} a számítógépéhez fizikailag hozzáférő támadó hideg újraindítást hajt végre a gép újraindítása érdekében, hogy titkosítási kulcsokat kérjen le a Windows operációs rendszertől .

Az iskolákban megtanították nekünk, hogy a RAM ( Random Access Memory ) ingadozó, és nem tud adatot tárolni, ha a számítógép ki van kapcsolva. Amit nekünk kellett volna mondaniuk, az… nem tárolhatjuk sokáig az adatokat, ha a számítógép ki van kapcsolva^{(cannot hold data for long if the computer is switched off)} . Ez azt jelenti, hogy a RAM továbbra is tárol adatokat néhány másodperctől néhány percig, mielőtt az áramellátás hiánya miatt kialszik. Rendkívül rövid ideig bárki, aki rendelkezik megfelelő eszközökkel, elolvashatja a RAM -ot , és biztonságos, állandó tárhelyre másolhatja annak tartalmát egy másik könnyű operációs rendszer használatával USB - meghajtón vagy SD-kártyán^{(SD Card)} . Az ilyen támadást hidegindítási támadásnak nevezik.

Képzeljen el egy számítógépet, amely néhány percig felügyelet nélkül hever valamelyik szervezetnél. Minden hackernek csak be kell állítania az eszközeit, és ki kell kapcsolnia a számítógépet. Ahogy a RAM lehűl (az adatok lassan elhalványulnak), a hacker csatlakoztat egy indítható USB - meghajtót, és azon keresztül indul. Másolhatja a tartalmat valami hasonló USB - meghajtóra.

Mivel a támadás természete a számítógép kikapcsolása, majd a bekapcsológomb újraindítása, ezt hidegindításnak nevezik. Lehet, hogy már a számítógépes évek elején tanulta a hidegindítást és a melegindítást. A hidegindítás az a hely, ahol a számítógépet a főkapcsolóval indítja el. A Warm Boot az a lehetőség, ahol a számítógép újraindításának lehetőségét használja a leállítási menü újraindítási opciójával.

A RAM lefagyasztása

Ez egy újabb trükk a hackerek ujján. Egyszerűen szórhatnak valamilyen anyagot (például: folyékony nitrogént^{(Liquid Nitrogen)} ) a RAM - modulokra, így azok azonnal megfagynak. Minél alacsonyabb a hőmérséklet, annál hosszabb ideig tud információt tárolni a RAM . Ezzel a trükkel (hackerek) sikeresen végrehajthatnak egy Cold Boot Attack -et , és maximális adatot másolhatnak. A folyamat felgyorsítása érdekében automatikus futtatási fájlokat használnak a könnyű operációs rendszeren ^(System)USB-stickokon^{(USB Sticks)} vagy SD-kártyákon, amelyek a feltört számítógép leállítása után hamarosan elindulnak.

Cold Boot Attack lépései

Nem feltétlenül mindenki használ az alábbihoz hasonló támadási stílusokat. A legtöbb általános lépést azonban alább felsoroljuk.

1. Módosítsa a BIOS -információkat, hogy először engedélyezze a rendszerindítást az USB -ről^(USB)
2. Helyezzen^(Insert) be egy indítható USB -t a kérdéses számítógépbe
3. Kapcsolja ki erőszakosan a számítógépet, hogy a processzornak ne legyen ideje a titkosítási kulcsok vagy más fontos adatok eltávolítására; tudja, hogy a megfelelő leállítás is segíthet, de nem biztos, hogy olyan sikeres, mint a bekapcsológomb megnyomásával vagy más módszerekkel történő kényszerleállítás.
4. A lehető leghamarabb használja a főkapcsolót a feltört számítógép hidegindításához
5. Mivel a BIOS -beállítások megváltoztak, az ^(BIOS)USB -meghajtón lévő operációs rendszer betöltődik
6. Még az operációs rendszer betöltése közben is automatikusan futtatják a folyamatokat a RAM^(RAM) -ban tárolt adatok kinyeréséhez .
7. Kapcsolja ki újra a számítógépet, miután ellenőrizte a cél tárhelyet (ahol az ellopott adatokat tárolják), távolítsa el az USB OS Sticket^{(USB OS Stick)} , és menjen el.

Milyen információk vannak veszélyben a Cold Boot Attacks esetén^{(Cold Boot Attacks)}

A leggyakrabban veszélyeztetett információ/adat a lemeztitkosítási kulcsok és jelszavak. Általában a hidegindítási támadás célja a lemeztitkosítási kulcsok illegális, engedély nélküli visszakeresése.

A megfelelő leállítás során az utolsó dolog, ami megtörténik, a lemezek szétszerelése és a titkosítási kulcsok használata a titkosításukra, így lehetséges, hogy ha a számítógépet hirtelen kikapcsolják, az adatok továbbra is elérhetőek lehetnek számukra.

Megvédeni magát a Cold Boot Attack ellen^{(Cold Boot Attack)}

Személyes szinten csak a leállítás után legalább 5 percig tartózkodhat a számítógép közelében. Plusz egy óvintézkedés, hogy megfelelően kapcsolja ki a leállítási menü használatával, ahelyett, hogy a tápkábelt húzná vagy a bekapcsológombot használja a számítógép kikapcsolásához.

Nem sokat tehet, mert ez nem szoftveres probléma. Inkább a hardverhez kapcsolódik. Ezért a berendezések gyártóinak kezdeményezniük kell, hogy a számítógép kikapcsolása után a lehető leghamarabb távolítsanak el minden adatot a RAM -ból, hogy elkerüljék és megóvják Önt a hidegindítási támadásoktól.^(RAM)

Néhány számítógép most felülírja a RAM -ot , mielőtt teljesen leállna. Ennek ellenére a kényszerleállás lehetősége mindig fennáll.

A BitLocker által használt technika a PIN kód használata a ^(PIN)RAM eléréséhez . Még akkor is, ha a számítógép hibernált állapotban van (a számítógép kikapcsolt állapota), amikor a felhasználó felébreszti, és megpróbál hozzáférni bármihez, először meg kell adnia a PIN -kódot a ^(PIN)RAM eléréséhez . Ez a módszer sem bolondbiztos, mivel a hackerek az adathalászat^(Phishing) vagy a közösségi tervezés^{(Social Engineering)} egyik módszerével szerezhetik meg a PIN -kódot .

Összegzés

A fentiek elmagyarázzák, mi az a hidegindítási támadás, és hogyan működik. Vannak olyan korlátozások, amelyek miatt nem lehet 100%-os biztonságot nyújtani a hidegindítási támadásokkal szemben. De amennyire én tudom, a biztonsági cégek azon dolgoznak, hogy jobb megoldást találjanak, mint a RAM egyszerű átírása vagy PIN -kód használata a ^(PIN)RAM tartalmának védelmére .

Most olvassa el^{(Now read)} : Mi az a szörfözési támadás^{(What is a Surfing Attack)} ?

What is a Cold Boot Attack and how can you stay safe?

Cold Boot Attack is yet another method used to steal data. The only thing special is that they have direct access to your computer hardware or the whole computer. This article talks about what is Cold Boot Attack and how to stay safe from such techniques.

What is Cold Boot Attack

In a Cold Boot Attack or a Platform Reset Attack, an attacker who has physical access to your computer does a cold reboot to restart the machine in order to retrieve encryption keys from the Windows operating system

They taught us in schools that RAM (Random Access Memory) is volatile and cannot hold data if the computer is switched off. What they should have told us should have been …cannot hold data for long if the computer is switched off. That means, RAM still holds data from few seconds to few minutes before it fades out due to lack of electricity supply. For an ultra-small period, anyone with proper tools can read the RAM and copy its contents to a safe, permanent storage using a different lightweight operating system on a USB stick or SD Card. Such an attack is called cold boot attack.

Imagine a computer lying unattended at some organization for a few minutes. Any hacker just has to set his tools in place and turn off the computer. As the RAM cools down (data fades out slowly), the hacker plugs in a bootable USB stick and boots via that. He or she can copy the contents into something like the same USB stick.

Since the nature of the attack is turning off the computer and then using the power switch to restart it, it is called cold boot. You might have learned about cold boot and warm boot in your early computing years. Cold boot is where you start a computer using the power switch. A Warm Boot is where you use the option of restarting a computer using the restart option in the shutdown menu.

Freezing the RAM

This is yet another trick on the sleeves of hackers. They can simply spray some substance (example: Liquid Nitrogen) on to RAM modules so that they freeze immediately. The lower the temperature, the longer RAM can hold information. Using this trick, they (hackers) can successfully complete a Cold Boot Attack and copy maximum data. To quicken the process, they use autorun files on the lightweight Operating System on USB Sticks or SD Cards that are booted soon after shutting down the computer being hacked.

Steps in a Cold Boot Attack

Not necessarily everyone uses attack styles similar to the one given below. However, most of the common steps are listed below.

1. Change the BIOS information to allow boot from USB first
2. Insert a bootable USB into the computer in question
3. Turn off the computer forcibly so that the processor doesn’t get time to dismount any encryption keys or other important data; know that a proper shutdown may too help but may not be as successful as a forced shut down by pressing the power key or other methods.
4. As soon as possible, using the power switch to cold boot the computer being hacked
5. Since the BIOS settings were changed, the OS on a USB stick is loaded
6. Even as this OS is being loaded, they autorun processes to extract data stored in RAM.
7. Turn off the computer again after checking the destination storage (where the stolen data is stored), remove the USB OS Stick, and walk away

What information is at risk in Cold Boot Attacks

Most common information/data at risk are disk encryption keys and passwords. Usually, the aim of a cold boot attack is to retrieve disk encryption keys illegally, without authorization.

The last things to happen when in a proper shutdown are dismounting the disks and using the encryption keys to encrypt them so it is possible that if a computer is turned off abruptly, the data might still be available for them.

Securing yourself from Cold Boot Attack

On a personal level, you can only make sure that you stay near your computer until at least 5 minutes after it is shut down. Plus one precaution is to shut down properly using the shutdown menu, instead of pulling the electric cord or using the power button to turn off the computer.

You can’t do much because it is not a software issue largely. It is related more to the hardware. So the equipment manufacturers should take the initiative to remove all data from RAM as soon as possible after a computer is turned off to avoid and protect you from cold boot attack.

Some computers now overwrite RAM before completely shut down. Still, the possibility of a forced shutdown is always there.

The technique used by BitLocker is to use a PIN to access RAM. Even if the computer has been hibernated (a state of turning off the computer), when the user wakes it up and tries to access anything, first he or she has to enter a PIN to access RAM. This method is also not fool-proof as hackers can get the PIN using one of the methods of Phishing or Social Engineering.

Summary

The above explains what a cold boot attack is and how it works. There are some restrictions due to which 100% security cannot be offered against a cold boot attack. But as far as I know, security companies are working to find a better fix than simply rewriting RAM or using a PIN to protect the contents of RAM.

Now read: What is a Surfing Attack?

Related posts

• A Retpoline manuális engedélyezése a Windows 10 rendszeren

• A hiba, probléma vagy sebezhetőség bejelentése a Microsoft felé

• DLL-eltérítési sebezhetőségi támadások, megelőzés és észlelés

• A CSS Exfil Protection böngészőbővítmény CSS Exfil sebezhetőségi támadást kínál

• Bitdefender Home Scanner: Vizsgálja meg otthoni hálózatát a sebezhetőségekért

• A rendszerindító szektor és az MBR biztonsági mentése és visszaállítása a HDHacker segítségével

• Az alapértelmezett operációs rendszer megváltoztatása; Módosítsa a rendszerindítási alapértékeket

• A BitLocker telepítőjének nem sikerült exportálnia a BCD (Boot Configuration Data) tárolót

• Az alkalmazást nem sikerült megfelelően inicializálni (0xc0000135)

• Mérje meg a rendszerindítási időt a Windows rendszerben a Windows rendszerindítási időzítővel

• A Microsoft Surface nem kapcsol be, nem indul el és nem ébred fel alvó állapotból

• A rendszerindítási sorrend megváltoztatása a Windows 11/10 rendszerben

• Javítsa ki az alaplap 99-es hibakódját Windows rendszerű számítógépeken

• Hozzon létre egy MultiBoot USB flash meghajtót a YUMI Multiboot USB Creator segítségével

• A tiszta rendszerindítás végrehajtása a Windows 11/10 rendszerben

• Engedélyezze az Intel Processor Machine Check Error sebezhetőség elleni védelmét

• A Windows megragadt az üdvözlőképernyőn

• Hiányzó operációs rendszer nem található hiba a Windows 11/10 rendszerben

• Formázza az USB-meghajtót egyetlen FAT-partícióként: Boot Camp Assistant

• 0211-es hiba: A billentyűzet nem található a Windows 10 rendszerű számítógépen