Cold Boot Attack je ďalšou metódou používanou na krádež údajov. Jedinou zvláštnosťou je, že majú priamy prístup k hardvéru vášho počítača alebo k celému počítaču. Tento článok hovorí o tom, čo je Cold Boot Attack a ako sa pred takýmito technikami chrániť.

Čo je Cold Boot Attack

V prípade útoku studeného spustenia^{(Cold Boot Attack)} alebo útoku resetovania platformy^{(Platform Reset Attack,)} útočník, ktorý má fyzický prístup k vášmu počítaču, vykoná studený reštart, aby reštartoval počítač, aby získal šifrovacie kľúče z operačného systému Windows .

V školách nás učili, že RAM ( Random Access Memory ) je volatilná a nedokáže udržať dáta, ak je počítač vypnutý. To, čo nám mali povedať, by malo byť ... nemôže uchovávať údaje na dlho, ak je počítač vypnutý^{(cannot hold data for long if the computer is switched off)} . To znamená, že RAM stále uchováva údaje od niekoľkých sekúnd do niekoľkých minút, kým sa vytratí z dôvodu nedostatku elektrickej energie. Počas veľmi krátkeho obdobia môže ktokoľvek s vhodnými nástrojmi čítať pamäť RAM^(RAM) a skopírovať jej obsah do bezpečného trvalého úložiska pomocou iného ľahkého operačného systému na USB kľúči alebo SD karte^{(SD Card)} . Takýto útok sa nazýva studený boot útok.

Predstavte si, že počítač niekoľko minút leží bez dozoru v nejakej organizácii. Každý hacker musí iba nastaviť svoje nástroje na miesto a vypnúť počítač. Keď sa RAM ochladzuje (dáta pomaly miznú), hacker pripojí bootovateľný USB kľúč a nabootuje cez neho. Môže skopírovať obsah na niečo ako rovnaký USB kľúč.

Keďže podstatou útoku je vypnutie počítača a následné použitie vypínača na jeho reštartovanie, nazýva sa studený boot. Možno ste sa dozvedeli o studených topánkach a teplých topánkach v prvých rokoch práce s počítačom. Studené spustenie je miesto, kde spustíte počítač pomocou vypínača. Teplé spustenie je miesto, kde používate možnosť reštartovania počítača pomocou možnosti reštartu v ponuke vypnutia.

Zmrazenie pamäte RAM

Toto je ďalší trik na rukávoch hackerov. Môžu jednoducho nastriekať nejakú látku (napríklad: tekutý dusík^{(Liquid Nitrogen)} ) na moduly RAM , takže okamžite zamrznú. Čím nižšia je teplota, tým dlhšie môže RAM uchovávať informácie. Pomocou tohto triku môžu (hackeri) úspešne dokončiť Cold Boot Attack a skopírovať maximum údajov. Na urýchlenie procesu používajú súbory automatického spustenia v ľahkom operačnom systéme^(System) na USB kľúčoch^{(USB Sticks)} alebo SD kartách, ktoré sa spustia krátko po vypnutí napadnutého počítača.

Kroky v útoku studenej obuvi

Nie nevyhnutne každý používa štýly útoku podobné tým, ktoré sú uvedené nižšie. Väčšina bežných krokov je však uvedená nižšie.

1. Zmeňte informácie v systéme BIOS^(BIOS) tak, aby bolo možné najskôr spustiť systém z USB
2. Vložte^(Insert) bootovacie USB do príslušného počítača
3. Nútene vypnite počítač, aby procesor nemal čas na odpojenie šifrovacích kľúčov alebo iných dôležitých údajov; vedzte, že správne vypnutie môže tiež pomôcť, ale nemusí byť také úspešné ako nútené vypnutie stlačením vypínača alebo inými spôsobmi.
4. Čo najskôr použite vypínač na studené spustenie napadnutého počítača
5. Po zmene nastavení systému BIOS^(BIOS) sa načíta operačný systém na USB kľúči^(USB)
6. Aj keď sa tento OS načítava, automaticky spúšťajú procesy na extrahovanie údajov uložených v RAM .
7. Po skontrolovaní cieľového úložiska (kde sú uložené ukradnuté údaje) počítač znova vypnite, vyberte USB OS Stick a odíďte

Aké informácie sú ohrozené pri útokoch typu Cold Boot Attack^{(Cold Boot Attacks)}

Najbežnejšie ohrozené informácie/údaje sú kľúče na šifrovanie disku a heslá. Zvyčajne je cieľom útoku za studena získať šifrovacie kľúče disku nelegálne, bez autorizácie.

Posledné veci, ktoré sa stanú pri správnom vypnutí, sú odpojenie diskov a použitie šifrovacích kľúčov na ich zašifrovanie, takže je možné, že ak sa počítač náhle vypne, údaje môžu byť pre ne stále dostupné.

Zabezpečte sa pred útokom Cold Boot Attack^{(Cold Boot Attack)}

Na osobnej úrovni sa môžete uistiť, že zostanete v blízkosti počítača aspoň 5 minút po jeho vypnutí. Plus jedným opatrením je správne vypnúť počítač pomocou ponuky vypnutia namiesto ťahania za napájací kábel alebo pomocou tlačidla napájania na vypnutie počítača.

Nemôžete urobiť veľa, pretože to nie je vo veľkej miere softvérový problém. Súvisí to skôr s hardvérom. Výrobcovia zariadení by teda mali prevziať iniciatívu a odstrániť všetky údaje z pamäte RAM^(RAM) čo najskôr po vypnutí počítača, aby sa vyhli a ochránili vás pred útokom za studena.

Niektoré počítače teraz prepisujú RAM pred úplným vypnutím. Stále však existuje možnosť núteného vypnutia.

Technika používaná nástrojom BitLocker^(BitLocker) je použitie kódu PIN^(PIN) na prístup k pamäti RAM^(RAM) . Aj keď bol počítač v režime hibernácie (stav vypnutia počítača), keď ho používateľ prebudí a pokúsi sa získať prístup k čomukoľvek, musí najprv zadať kód PIN^(PIN) na prístup k pamäti RAM^(RAM) . Táto metóda tiež nie je spoľahlivá, pretože hackeri môžu získať PIN pomocou jednej z metód phishingu^(Phishing) alebo sociálneho inžinierstva^{(Social Engineering)} .

Zhrnutie

Vyššie uvedené vysvetľuje, čo je útok za studena a ako funguje. Existujú určité obmedzenia, kvôli ktorým nemožno ponúknuť 100% bezpečnosť proti útoku studeného spustenia. Pokiaľ však viem, bezpečnostné spoločnosti pracujú na nájdení lepšej opravy, než je jednoduché prepísanie pamäte RAM^(RAM) alebo používanie kódu PIN^(PIN) na ochranu obsahu pamäte RAM^(RAM) .

Teraz si prečítajte^{(Now read)} : Čo je to útok pri surfovaní^{(What is a Surfing Attack)} ?

What is a Cold Boot Attack and how can you stay safe?

Cold Boot Attack is yet another method used to steal data. The only thing special is that they have direct access to your computer hardware or the whole computer. This article talks about what is Cold Boot Attack and how to stay safe from such techniques.

What is Cold Boot Attack

In a Cold Boot Attack or a Platform Reset Attack, an attacker who has physical access to your computer does a cold reboot to restart the machine in order to retrieve encryption keys from the Windows operating system

They taught us in schools that RAM (Random Access Memory) is volatile and cannot hold data if the computer is switched off. What they should have told us should have been …cannot hold data for long if the computer is switched off. That means, RAM still holds data from few seconds to few minutes before it fades out due to lack of electricity supply. For an ultra-small period, anyone with proper tools can read the RAM and copy its contents to a safe, permanent storage using a different lightweight operating system on a USB stick or SD Card. Such an attack is called cold boot attack.

Imagine a computer lying unattended at some organization for a few minutes. Any hacker just has to set his tools in place and turn off the computer. As the RAM cools down (data fades out slowly), the hacker plugs in a bootable USB stick and boots via that. He or she can copy the contents into something like the same USB stick.

Since the nature of the attack is turning off the computer and then using the power switch to restart it, it is called cold boot. You might have learned about cold boot and warm boot in your early computing years. Cold boot is where you start a computer using the power switch. A Warm Boot is where you use the option of restarting a computer using the restart option in the shutdown menu.

Freezing the RAM

This is yet another trick on the sleeves of hackers. They can simply spray some substance (example: Liquid Nitrogen) on to RAM modules so that they freeze immediately. The lower the temperature, the longer RAM can hold information. Using this trick, they (hackers) can successfully complete a Cold Boot Attack and copy maximum data. To quicken the process, they use autorun files on the lightweight Operating System on USB Sticks or SD Cards that are booted soon after shutting down the computer being hacked.

Steps in a Cold Boot Attack

Not necessarily everyone uses attack styles similar to the one given below. However, most of the common steps are listed below.

1. Change the BIOS information to allow boot from USB first
2. Insert a bootable USB into the computer in question
3. Turn off the computer forcibly so that the processor doesn’t get time to dismount any encryption keys or other important data; know that a proper shutdown may too help but may not be as successful as a forced shut down by pressing the power key or other methods.
4. As soon as possible, using the power switch to cold boot the computer being hacked
5. Since the BIOS settings were changed, the OS on a USB stick is loaded
6. Even as this OS is being loaded, they autorun processes to extract data stored in RAM.
7. Turn off the computer again after checking the destination storage (where the stolen data is stored), remove the USB OS Stick, and walk away

What information is at risk in Cold Boot Attacks

Most common information/data at risk are disk encryption keys and passwords. Usually, the aim of a cold boot attack is to retrieve disk encryption keys illegally, without authorization.

The last things to happen when in a proper shutdown are dismounting the disks and using the encryption keys to encrypt them so it is possible that if a computer is turned off abruptly, the data might still be available for them.

Securing yourself from Cold Boot Attack

On a personal level, you can only make sure that you stay near your computer until at least 5 minutes after it is shut down. Plus one precaution is to shut down properly using the shutdown menu, instead of pulling the electric cord or using the power button to turn off the computer.

You can’t do much because it is not a software issue largely. It is related more to the hardware. So the equipment manufacturers should take the initiative to remove all data from RAM as soon as possible after a computer is turned off to avoid and protect you from cold boot attack.

Some computers now overwrite RAM before completely shut down. Still, the possibility of a forced shutdown is always there.

The technique used by BitLocker is to use a PIN to access RAM. Even if the computer has been hibernated (a state of turning off the computer), when the user wakes it up and tries to access anything, first he or she has to enter a PIN to access RAM. This method is also not fool-proof as hackers can get the PIN using one of the methods of Phishing or Social Engineering.

Summary

The above explains what a cold boot attack is and how it works. There are some restrictions due to which 100% security cannot be offered against a cold boot attack. But as far as I know, security companies are working to find a better fix than simply rewriting RAM or using a PIN to protect the contents of RAM.

Now read: What is a Surfing Attack?

Related posts

• Ako manuálne povoliť Retpoline v systéme Windows 10

• Ako nahlásiť chybu, problém alebo zraniteľnosť spoločnosti Microsoft

• DLL Hijacking Vulnerability Útoky, prevencia a detekcia

• Rozšírenie prehliadača CSS Exfil Protection ponúka útok na zraniteľnosť CSS Exfil

• Bitdefender Home Scanner: Skenujte svoju domácu sieť na slabé miesta

• Ako zmeniť poradie spúšťania v systéme Windows 11/10

• Povoliť ochranu proti chybe zabezpečenia procesora Intel

• Zmeňte text ponuky zavádzania pri dvojitom zavádzaní rovnakej verzie systému Windows

• Ako načasovať spustenie a vykonať sledovanie spustenia v systéme Windows 10

• Chyba chýbajúci operačný systém sa nenašiel v systéme Windows 11/10

• Zlyhanie pri pokuse o skopírovanie zavádzacích súborov v systéme Windows 11/10

• Oprava NTLDR chýba, stlačte Ctrl-Alt-Del na reštartovanie chyby v systéme Windows 10

• SecPod Saner Personal: Bezplatný pokročilý skener zraniteľnosti

• Kamera FaceTime nefunguje v systéme Windows 10 s Boot Camp

• Ako opraviť Start PXE over IPv4 v systéme Windows 11/10

• Pevný disk sa nezobrazuje v ponuke zavádzania

• Oprava chýb disku. Dokončenie môže trvať hodinu

• Chráňte hlavný zavádzací záznam vášho počítača pomocou filtra MBR

• Čo je rýchle spustenie a ako ho povoliť alebo zakázať v systéme Windows 11/10

• Chyba 0211: Klávesnica sa nenašla na počítači so systémom Windows 10