Cold Boot Attack е още един метод, използван за кражба на данни. Единственото нещо специално е, че те имат директен достъп до хардуера на вашия компютър или до целия компютър. Тази статия говори за това какво е атака на студено зареждане^{(Boot Attack)} и как да се предпазим от подобни техники.

Какво е атака на студено зареждане

При атака при студено стартиране^{(Cold Boot Attack)} или атака за нулиране на платформата^{(Platform Reset Attack,)} нападател, който има физически достъп до вашия компютър, извършва студено рестартиране, за да рестартира машината, за да извлече ключове за криптиране от операционната система Windows

В училищата ни учеха, че RAM ( паметта с произволен достъп^{(Random Access Memory)} ) е непостоянна и не може да съхранява данни, ако компютърът е изключен. Това, което трябваше да ни кажат, трябваше да бъде… не може да съхранява данни за дълго, ако компютърът е изключен^{(cannot hold data for long if the computer is switched off)} . Това означава, че RAM все още съхранява данни от няколко секунди до няколко минути, преди да избледнее поради липса на електричество. За изключително кратък период от време всеки, който разполага с подходящи инструменти, може да прочете RAM паметта^(RAM) и да копира съдържанието й в безопасно, постоянно съхранение, използвайки различна лека операционна система на USB памет или SD карта^{(SD Card)} . Такава атака се нарича атака при студено зареждане.

Представете си компютър, който лежи без надзор в някаква организация за няколко минути. Всеки хакер просто трябва да настрои инструментите си на място и да изключи компютъра. Докато RAM паметта^(RAM) се охлажда (данните избледняват бавно), хакерът включва стартиращ USB флаш и се зарежда чрез него. Той или тя може да копира съдържанието в нещо като същия USB флаш.

Тъй като естеството на атаката е изключване на компютъра и след това използване на превключвателя на захранването, за да го рестартирате, тя се нарича студено стартиране. Може да сте научили за студено и топло зареждане в ранните си компютърни години. Студеното стартиране е мястото, където стартирате компютър с ключа за захранване. Топлото стартиране е мястото, където използвате опцията за рестартиране на компютър чрез опцията за рестартиране в менюто за изключване.

Замразяване на RAM паметта

Това е още един трик в ръкавите на хакерите. Те могат просто да напръскат някакво вещество (пример: течен азот^{(Liquid Nitrogen)} ) върху RAM модули, така че да замръзнат незабавно. Колкото по-ниска е температурата, толкова по-дълго RAM може да съхранява информация. Използвайки този трик, те (хакерите) могат успешно да завършат атака при студено зареждане^{(Cold Boot Attack)} и да копират максимални данни. За да ускорят процеса, те използват файлове за автоматично стартиране на олекотената операционна система^(System) на USB памети^{(USB Sticks)} или SD карти, които се зареждат скоро след изключване на хакнатия компютър.

Стъпки в атака на студено стартиране

Не е задължително всеки да използва стилове за атака, подобни на дадения по-долу. Въпреки това повечето от често срещаните стъпки са изброени по-долу.

1. Променете информацията за BIOS , за да разрешите първо стартиране от USB
2. Поставете^(Insert) стартиращ USB във въпросния компютър
3. Изключете компютъра принудително, така че процесорът да няма време да демонтира ключове за криптиране или други важни данни; знайте, че правилното изключване може също да помогне, но може да не е толкова успешно, колкото принудителното изключване чрез натискане на клавиша за захранване или други методи.
4. Колкото е възможно по-скоро, като използвате превключвателя на захранването за студено стартиране на хакнатия компютър
5. Тъй като настройките на BIOS са променени, операционната система на USB флаш се зарежда
6. Дори когато тази ОС се зарежда, те автоматично стартират процеси за извличане на данни, съхранявани в RAM .
7. Изключете компютъра отново, след като проверите местоназначението за съхранение (където се съхраняват откраднатите данни), извадете USB OS Stick и си тръгнете

Каква информация е изложена на риск при атаки на студено зареждане^{(Cold Boot Attacks)}

Най-честата информация/данни, изложени на риск, са ключовете за криптиране на диска и паролите. Обикновено целта на атаката при студено стартиране е да се извлекат ключове за криптиране на диска незаконно, без оторизация.

Последните неща, които трябва да се случат при правилно изключване, са демонтирането на дисковете и използването на ключовете за криптиране за криптирането им, така че е възможно, ако компютърът бъде изключен внезапно, данните все още да са налични за тях.

Защитете се от атака на студено зареждане^{(Cold Boot Attack)}

На лично ниво можете само да се уверите, че оставате близо до компютъра си поне 5 минути след изключване. Плюс една предпазна мярка е да изключите правилно с помощта на менюто за изключване, вместо да дърпате електрическия кабел или да използвате бутона за захранване, за да изключите компютъра.

Не можете да направите много, защото това до голяма степен не е софтуерен проблем. Свързано е повече с хардуера. Така че производителите на оборудване трябва да поемат инициативата да премахнат всички данни от RAM възможно най-скоро след изключване на компютъра, за да избегнат и да ви предпазят от атака при студено стартиране.

Някои компютри сега презаписват RAM , преди напълно да се изключат. Все пак възможността за принудително изключване винаги е налице.

Техниката, използвана от BitLocker , е да се използва ПИН^(PIN) за достъп до RAM . Дори ако компютърът е бил в хиберниран режим (състояние на изключване на компютъра), когато потребителят го събуди и се опита да осъществи достъп до каквото и да било, първо той или тя трябва да въведе ПИН^(PIN) за достъп до RAM . Този метод също не е надежден, тъй като хакерите могат да получат ПИН кода^(PIN) , използвайки един от методите на фишинг^(Phishing) или социално инженерство^{(Social Engineering)} .

Резюме

Горното обяснява какво представлява атака при студено зареждане и как работи. Има някои ограничения, поради които не може да се предложи 100% сигурност срещу атака при студено зареждане. Но доколкото знам, компаниите за сигурност работят, за да намерят по-добро решение от простото пренаписване на RAM или използване на ПИН^(PIN) за защита на съдържанието на RAM .

Сега прочетете^{(Now read)} : Какво е атака при сърфиране^{(What is a Surfing Attack)} ?

What is a Cold Boot Attack and how can you stay safe?

Cold Boot Attack is yet another method used to steal data. The only thing special is that they have direct access to your computer hardware or the whole computer. This article talks about what is Cold Boot Attack and how to stay safe from such techniques.

What is Cold Boot Attack

In a Cold Boot Attack or a Platform Reset Attack, an attacker who has physical access to your computer does a cold reboot to restart the machine in order to retrieve encryption keys from the Windows operating system

They taught us in schools that RAM (Random Access Memory) is volatile and cannot hold data if the computer is switched off. What they should have told us should have been …cannot hold data for long if the computer is switched off. That means, RAM still holds data from few seconds to few minutes before it fades out due to lack of electricity supply. For an ultra-small period, anyone with proper tools can read the RAM and copy its contents to a safe, permanent storage using a different lightweight operating system on a USB stick or SD Card. Such an attack is called cold boot attack.

Imagine a computer lying unattended at some organization for a few minutes. Any hacker just has to set his tools in place and turn off the computer. As the RAM cools down (data fades out slowly), the hacker plugs in a bootable USB stick and boots via that. He or she can copy the contents into something like the same USB stick.

Since the nature of the attack is turning off the computer and then using the power switch to restart it, it is called cold boot. You might have learned about cold boot and warm boot in your early computing years. Cold boot is where you start a computer using the power switch. A Warm Boot is where you use the option of restarting a computer using the restart option in the shutdown menu.

Freezing the RAM

This is yet another trick on the sleeves of hackers. They can simply spray some substance (example: Liquid Nitrogen) on to RAM modules so that they freeze immediately. The lower the temperature, the longer RAM can hold information. Using this trick, they (hackers) can successfully complete a Cold Boot Attack and copy maximum data. To quicken the process, they use autorun files on the lightweight Operating System on USB Sticks or SD Cards that are booted soon after shutting down the computer being hacked.

Steps in a Cold Boot Attack

Not necessarily everyone uses attack styles similar to the one given below. However, most of the common steps are listed below.

1. Change the BIOS information to allow boot from USB first
2. Insert a bootable USB into the computer in question
3. Turn off the computer forcibly so that the processor doesn’t get time to dismount any encryption keys or other important data; know that a proper shutdown may too help but may not be as successful as a forced shut down by pressing the power key or other methods.
4. As soon as possible, using the power switch to cold boot the computer being hacked
5. Since the BIOS settings were changed, the OS on a USB stick is loaded
6. Even as this OS is being loaded, they autorun processes to extract data stored in RAM.
7. Turn off the computer again after checking the destination storage (where the stolen data is stored), remove the USB OS Stick, and walk away

What information is at risk in Cold Boot Attacks

Most common information/data at risk are disk encryption keys and passwords. Usually, the aim of a cold boot attack is to retrieve disk encryption keys illegally, without authorization.

The last things to happen when in a proper shutdown are dismounting the disks and using the encryption keys to encrypt them so it is possible that if a computer is turned off abruptly, the data might still be available for them.

Securing yourself from Cold Boot Attack

On a personal level, you can only make sure that you stay near your computer until at least 5 minutes after it is shut down. Plus one precaution is to shut down properly using the shutdown menu, instead of pulling the electric cord or using the power button to turn off the computer.

You can’t do much because it is not a software issue largely. It is related more to the hardware. So the equipment manufacturers should take the initiative to remove all data from RAM as soon as possible after a computer is turned off to avoid and protect you from cold boot attack.

Some computers now overwrite RAM before completely shut down. Still, the possibility of a forced shutdown is always there.

The technique used by BitLocker is to use a PIN to access RAM. Even if the computer has been hibernated (a state of turning off the computer), when the user wakes it up and tries to access anything, first he or she has to enter a PIN to access RAM. This method is also not fool-proof as hackers can get the PIN using one of the methods of Phishing or Social Engineering.

Summary

The above explains what a cold boot attack is and how it works. There are some restrictions due to which 100% security cannot be offered against a cold boot attack. But as far as I know, security companies are working to find a better fix than simply rewriting RAM or using a PIN to protect the contents of RAM.

Now read: What is a Surfing Attack?

Related posts

• Как ръчно да активирате Retpoline в Windows 10

• Как да докладвате за грешка, проблем или уязвимост на Microsoft

• Атаки на уязвимост при отвличане на DLL, предотвратяване и откриване

• Разширението на браузъра CSS Exfil Protection предлага атака срещу уязвимостта на CSS Exfil

• Домашен скенер на Bitdefender: Сканирайте вашата домашна мрежа за уязвимости

• Поправете липсата на NTLDR, натиснете Ctrl-Alt-Del, за да рестартирате грешка в Windows 10

• Активиране на защитата срещу уязвимост при проверка на машината на процесора Intel

• Как да стартирате Windows в UEFI или BIOS фърмуер

• Неуспешна инсталация във фаза SAFE_OS по време на операцията BOOT

• Как да промените операционната система по подразбиране; Променете настройките за зареждане по подразбиране

• Компютърът с Windows не се стартира след възстановяване на системата

• Приложението не успя да се инициализира правилно (0xc0000135)

• Windows е блокиран на екрана за добре дошли

• Твърдият диск не се показва в менюто за зареждане

• Деинсталирайте актуализация за качество или функции, когато Windows 11/10 не се стартира

• Коригиране на грешка 1962, Не е намерена операционна система на компютри с Windows 11/10

• Как да използвате Avast Boot Scan за премахване на злонамерен софтуер от компютър с Windows

• Поправете BOOTMGR е компресиран - грешка при стартиране на Windows 10

• Как да стартирате времето и да извършите проследяване на зареждане в Windows 10

• Грешка 0211: Клавиатурата не е намерена на компютър с Windows 10