Cold Boot Attack je još jedna metoda koja se koristi za krađu podataka. Jedino što je posebno je to što imaju izravan pristup hardveru vašeg računala ili cijelom računalu. Ovaj članak govori o tome što je Cold Boot Attack i kako se zaštititi od takvih tehnika.

Što je Cold Boot Attack

U napadu hladnog pokretanja^{(Cold Boot Attack)} ili napada na resetiranje platforme,^{(Platform Reset Attack,)} napadač koji ima fizički pristup vašem računalu radi hladno ponovno pokretanje kako bi ponovno pokrenuo stroj kako bi dohvatio ključeve za šifriranje iz operacijskog sustava Windows

U školama su nas učili da je RAM ( Random Access Memory ) nepostojan i ne može držati podatke ako je računalo isključeno. Ono što su nam trebali reći trebalo je biti … ne može dugo zadržati podatke ako je računalo isključeno^{(cannot hold data for long if the computer is switched off)} . To znači da RAM još uvijek drži podatke od nekoliko sekundi do nekoliko minuta prije nego što nestane zbog nedostatka napajanja. Za ultra-malo razdoblje, svatko s odgovarajućim alatima može čitati RAM i kopirati njegov sadržaj u sigurnu, trajnu pohranu koristeći drugačiji lagani operativni sustav na USB sticku ili SD kartici^{(SD Card)} . Takav napad naziva se napad hladnog pokretanja.

Zamislite da računalo leži bez nadzora u nekoj organizaciji nekoliko minuta. Svaki haker samo mora postaviti svoje alate na mjesto i isključiti računalo. Kako se RAM hladi (podaci polako nestaju), haker uključuje USB stick za podizanje sustava i pokreće se preko njega. On ili ona mogu kopirati sadržaj na nešto poput istog USB sticka.

Budući da je priroda napada isključivanje računala, a zatim korištenje prekidača za napajanje za ponovno pokretanje, naziva se hladno pokretanje. Možda ste naučili o hladnom pokretanju i toplom pokretanju u ranim godinama rada na računaru. Hladno pokretanje je mjesto gdje pokrećete računalo pomoću prekidača za napajanje. Toplo pokretanje je mjesto gdje koristite opciju ponovnog pokretanja računala pomoću opcije ponovnog pokretanja u izborniku za isključivanje.

Zamrzavanje RAM-a

Ovo je još jedan trik u rukavima hakera. Oni jednostavno mogu raspršiti neku tvar (primjer: tekući dušik^{(Liquid Nitrogen)} ) na RAM module tako da se odmah smrznu. Što je temperatura niža, to dulje RAM može zadržati informacije. Koristeći ovaj trik, oni (hakeri) mogu uspješno završiti Cold Boot Attack i kopirati maksimalan broj podataka. Kako bi ubrzali proces, koriste datoteke automatskog pokretanja na laganom operativnom sustavu^(System) na USB stickovima^{(USB Sticks)} ili SD karticama koje se pokreću ubrzo nakon gašenja računala koje je hakirano.

Koraci u napadu hladnog pokretanja

Nije nužno da svi koriste stilove napada slične dolje navedenim. Međutim, većina uobičajenih koraka navedena je u nastavku.

1. Promijenite podatke BIOS -a kako biste prvo omogućili pokretanje s USB -a^(USB)
2. Umetnite ^(Insert)USB za podizanje sustava u dotično računalo
3. Nasilno isključite računalo kako procesor ne bi dobio vremena za uklanjanje ključeva za šifriranje ili drugih važnih podataka; znajte da pravilno gašenje također može pomoći, ali možda neće biti uspješno kao prisilno gašenje pritiskom na tipku za uključivanje ili na druge metode.
4. Što je prije moguće, pomoću prekidača za napajanje na hladno pokrenite računalo koje se hakira
5. Budući da su BIOS postavke promijenjene, učitava se OS na USB sticku
6. Čak i dok se ovaj OS učitava, oni automatski pokreću procese za izdvajanje podataka pohranjenih u RAM- u .
7. Ponovno isključite računalo nakon što provjerite odredišnu pohranu (gdje su pohranjeni ukradeni podaci), izvadite USB OS Stick i udaljite se

Koje su informacije ugrožene u napadima hladnog pokretanja^{(Cold Boot Attacks)}

Najčešće ugrožene informacije/podaci su ključevi za šifriranje diska i lozinke. Obično je cilj napada hladnog pokretanja ilegalno, bez autorizacije, dohvatiti ključeve za šifriranje diska.

Posljednje stvari koje će se dogoditi prilikom pravilnog isključivanja su demontaža diskova i korištenje ključeva za šifriranje za njihovo šifriranje, tako da je moguće da će im podaci i dalje biti dostupni ako se računalo naglo isključi.

Osigurajte se od napada hladnog pokretanja^{(Cold Boot Attack)}

Na osobnoj razini, možete osigurati da ostanete u blizini svog računala najmanje 5 minuta nakon što se isključi. Osim toga, jedna mjera opreza je pravilno isključivanje pomoću izbornika za isključivanje, umjesto povlačenja električnog kabela ili korištenja gumba za napajanje za isključivanje računala.

Ne možete učiniti puno jer to uglavnom nije problem softvera. Više se odnosi na hardver. Stoga bi proizvođači opreme trebali preuzeti inicijativu da uklone sve podatke iz RAM-a^(RAM) što je prije moguće nakon što se računalo isključi kako bi vas izbjegli i zaštitili od napada hladnog pokretanja.

Neka računala sada prepisuju RAM prije potpunog isključivanja. Ipak, mogućnost prisilnog gašenja uvijek postoji.

Tehnika koju koristi BitLocker je korištenje PIN -a za pristup RAM- u . Čak i ako je računalo bilo u hiberniranju (stanje isključivanja računala), kada ga korisnik probudi i pokuša pristupiti bilo čemu, prvo mora unijeti PIN za pristup RAM- u . Ova metoda također nije sigurna jer hakeri mogu dobiti PIN koristeći jednu od metoda krađe identiteta^(Phishing) ili društvenog inženjeringa^{(Social Engineering)} .

Sažetak

Gore navedeno objašnjava što je napad hladnog pokretanja i kako funkcionira. Postoje neka ograničenja zbog kojih se ne može ponuditi 100% sigurnost protiv napada hladnog pokretanja. Ali koliko ja znam, sigurnosne tvrtke rade na pronalaženju boljeg rješenja od jednostavnog ponovnog pisanja RAM-a^(RAM) ili korištenja PIN -a za zaštitu sadržaja RAM-a^(RAM) .

Sada pročitajte^{(Now read)} : Što je napad surfanja^{(What is a Surfing Attack)} ?

What is a Cold Boot Attack and how can you stay safe?

Cold Boot Attack is yet another method used to steal data. The only thing special is that they have direct access to your computer hardware or the whole computer. This article talks about what is Cold Boot Attack and how to stay safe from such techniques.

What is Cold Boot Attack

In a Cold Boot Attack or a Platform Reset Attack, an attacker who has physical access to your computer does a cold reboot to restart the machine in order to retrieve encryption keys from the Windows operating system

They taught us in schools that RAM (Random Access Memory) is volatile and cannot hold data if the computer is switched off. What they should have told us should have been …cannot hold data for long if the computer is switched off. That means, RAM still holds data from few seconds to few minutes before it fades out due to lack of electricity supply. For an ultra-small period, anyone with proper tools can read the RAM and copy its contents to a safe, permanent storage using a different lightweight operating system on a USB stick or SD Card. Such an attack is called cold boot attack.

Imagine a computer lying unattended at some organization for a few minutes. Any hacker just has to set his tools in place and turn off the computer. As the RAM cools down (data fades out slowly), the hacker plugs in a bootable USB stick and boots via that. He or she can copy the contents into something like the same USB stick.

Since the nature of the attack is turning off the computer and then using the power switch to restart it, it is called cold boot. You might have learned about cold boot and warm boot in your early computing years. Cold boot is where you start a computer using the power switch. A Warm Boot is where you use the option of restarting a computer using the restart option in the shutdown menu.

Freezing the RAM

This is yet another trick on the sleeves of hackers. They can simply spray some substance (example: Liquid Nitrogen) on to RAM modules so that they freeze immediately. The lower the temperature, the longer RAM can hold information. Using this trick, they (hackers) can successfully complete a Cold Boot Attack and copy maximum data. To quicken the process, they use autorun files on the lightweight Operating System on USB Sticks or SD Cards that are booted soon after shutting down the computer being hacked.

Steps in a Cold Boot Attack

Not necessarily everyone uses attack styles similar to the one given below. However, most of the common steps are listed below.

1. Change the BIOS information to allow boot from USB first
2. Insert a bootable USB into the computer in question
3. Turn off the computer forcibly so that the processor doesn’t get time to dismount any encryption keys or other important data; know that a proper shutdown may too help but may not be as successful as a forced shut down by pressing the power key or other methods.
4. As soon as possible, using the power switch to cold boot the computer being hacked
5. Since the BIOS settings were changed, the OS on a USB stick is loaded
6. Even as this OS is being loaded, they autorun processes to extract data stored in RAM.
7. Turn off the computer again after checking the destination storage (where the stolen data is stored), remove the USB OS Stick, and walk away

What information is at risk in Cold Boot Attacks

Most common information/data at risk are disk encryption keys and passwords. Usually, the aim of a cold boot attack is to retrieve disk encryption keys illegally, without authorization.

The last things to happen when in a proper shutdown are dismounting the disks and using the encryption keys to encrypt them so it is possible that if a computer is turned off abruptly, the data might still be available for them.

Securing yourself from Cold Boot Attack

On a personal level, you can only make sure that you stay near your computer until at least 5 minutes after it is shut down. Plus one precaution is to shut down properly using the shutdown menu, instead of pulling the electric cord or using the power button to turn off the computer.

You can’t do much because it is not a software issue largely. It is related more to the hardware. So the equipment manufacturers should take the initiative to remove all data from RAM as soon as possible after a computer is turned off to avoid and protect you from cold boot attack.

Some computers now overwrite RAM before completely shut down. Still, the possibility of a forced shutdown is always there.

The technique used by BitLocker is to use a PIN to access RAM. Even if the computer has been hibernated (a state of turning off the computer), when the user wakes it up and tries to access anything, first he or she has to enter a PIN to access RAM. This method is also not fool-proof as hackers can get the PIN using one of the methods of Phishing or Social Engineering.

Summary

The above explains what a cold boot attack is and how it works. There are some restrictions due to which 100% security cannot be offered against a cold boot attack. But as far as I know, security companies are working to find a better fix than simply rewriting RAM or using a PIN to protect the contents of RAM.

Now read: What is a Surfing Attack?

Related posts

• Kako ručno omogućiti Retpoline na Windows 10

• Kako prijaviti grešku, problem ili ranjivost Microsoftu

• Napadi ranjivosti otmica DLL-a, prevencija i otkrivanje

• Proširenje preglednika CSS Exfil Protection nudi napad ranjivosti CSS Exfil

• Bitdefender kućni skener: Skenirajte svoju kućnu mrežu za ranjivosti

• Zaštitite glavni zapis za pokretanje računala pomoću MBR filtra

• Instalacija nije uspjela u SAFE_OS fazi tijekom BOOT operacije

• Promijenite smjer pomicanja na dodirnoj ploči za Mac u postavci Windows Dual Boot

• Postavljanje BitLockera nije uspjelo izvesti pohranu BCD (podaci o konfiguraciji pokretanja).

• Kako pokrenuti ili popraviti Windows računalo pomoću instalacijskog medija

• Deinstalirajte ažuriranje kvalitete ili značajke kada se Windows 11/10 ne pokrene

• Promijenite tekst izbornika za pokretanje prilikom dvostrukog podizanja iste verzije sustava Windows

• Windows računalo se neće pokrenuti nakon vraćanja sustava

• Popravite nedostatak NTLDR-a, pritisnite Ctrl-Alt-Del za ponovno pokretanje pogreške u sustavu Windows 10

• SecPod Saner Personal: Besplatan napredni skener ranjivosti

• Popravite kôd pogreške matične ploče 99 na Windows računalima

• Verzija operativnog sustava nije kompatibilna s popravkom pri pokretanju

• Kako pokrenuti Windows u UEFI ili BIOS firmware

• Tvrdi disk se ne prikazuje u izborniku za pokretanje

• Kako promijeniti redoslijed pokretanja sustava Windows 11/10