Cold Boot Attack on toinen tapa varastaa tietoja. Ainoa erikoisuus on, että heillä on suora pääsy tietokoneesi laitteistoon tai koko tietokoneeseen. Tässä artikkelissa kerrotaan, mitä Cold Boot Attack on ja kuinka pysyä turvassa tällaisilta tekniikoilta.

kylmäkäynnistyshyökkäys

Mikä on Cold Boot Attack

Cold Boot Attack- tai Platform Reset Attack^{(Platform Reset Attack,)} -hyökkäyksessä hyökkääjä, jolla on fyysinen pääsy tietokoneellesi, tekee kylmäkäynnistyksen käynnistääkseen koneen uudelleen saadakseen salausavaimet Windows - käyttöjärjestelmästä.

He opettivat meille kouluissa, että RAM ( Random Access Memory ) on haihtuvaa eikä pysty tallentamaan tietoja, jos tietokone on sammutettu. Heidän olisi pitänyt kertoa meille, että se ei voi säilyttää tietoja pitkään, jos tietokone on sammutettu^{(cannot hold data for long if the computer is switched off)} . Tämä tarkoittaa, että RAM -muisti säilyttää tietoja muutamasta sekunnista muutamaan minuuttiin, ennen kuin se häviää sähkön puutteen vuoksi. Erittäin pienen ajan kuka tahansa, jolla on oikeat työkalut, voi lukea RAM -muistin ja kopioida sen sisällön turvalliseen pysyvään tallennustilaan käyttämällä erilaista kevyttä käyttöjärjestelmää USB - tikulle tai SD-kortille^{(SD Card)} . Tällaista hyökkäystä kutsutaan kylmäkäynnistyshyökkäykseksi.

Kuvittele tietokonetta, joka makaa valvomatta jossain organisaatiossa muutaman minuutin ajan. Jokaisen hakkerin on vain asetettava työkalunsa paikoilleen ja sammutettava tietokone. Kun RAM -muisti jäähtyy (tiedot haalistuvat hitaasti), hakkeri kytkee käynnistettävän USB - tikun ja käynnistyy sen kautta. Hän voi kopioida sisällön esimerkiksi samalle USB - tikulle.

Koska hyökkäyksen luonne on sammuttaa tietokone ja käynnistää se sitten uudelleen virtakytkimellä, sitä kutsutaan kylmäkäynnistykseksi. Olet ehkä oppinut kylmäkäynnistä ja lämpimästä käynnistyksestä varhaisilla tietokonevuosillasi. Kylmäkäynnistys on paikka, jossa käynnistät tietokoneen virtakytkimellä. Lämmin käynnistys tarkoittaa, että voit käynnistää tietokoneen uudelleen sammutusvalikon uudelleenkäynnistysvaihtoehdon avulla.

RAM-muistin jäädyttäminen

Tämä on jälleen yksi temppu hakkereiden hihoissa. Ne voivat yksinkertaisesti suihkuttaa jotakin ainetta (esimerkiksi nestemäistä typpeä^{(Liquid Nitrogen)} ) RAM - moduuleille, jotta ne jäätyvät välittömästi. Mitä matalampi lämpötila, sitä pidempään RAM -muistiin mahtuu tietoa. Käyttämällä tätä temppua he (hakkerit) voivat onnistuneesti suorittaa Cold Boot Attackin^{(Cold Boot Attack)} ja kopioida enimmäismäärän dataa. Prosessin nopeuttamiseksi he käyttävät automaattisen käynnistystiedostoja kevyessä käyttöjärjestelmässä USB- tikuilla ^(System)tai^{(USB Sticks)} SD-korteilla, jotka käynnistetään pian hakkeroinnin kohteena olevan tietokoneen sammuttamisen jälkeen.

Askeleet kylmäkäynnistyshyökkäyksessä

Kaikki eivät välttämättä käytä alla olevan kaltaisia hyökkäystyylejä. Useimmat yleiset vaiheet on kuitenkin lueteltu alla.

Muuta BIOS - tietoja salliaksesi käynnistyksen ensin USB : stä^(USB)
Liitä^(Insert) käynnistys - USB kyseiseen tietokoneeseen
Sammuta tietokone väkisin, jotta prosessori ei ehdi purkaa salausavaimia tai muita tärkeitä tietoja; tiedä, että oikea sammutus voi myös auttaa, mutta se ei välttämättä ole yhtä onnistunut kuin pakkosammutus painamalla virtanäppäintä tai muita menetelmiä.
Mahdollisimman pian, käytä virtakytkintä hakkeroinnin kohteena olevan tietokoneen kylmäkäynnistykseen
Koska BIOS - asetuksia muutettiin, USB - tikulla oleva käyttöjärjestelmä ladataan
Vaikka tätä käyttöjärjestelmää ladataan, ne käynnistävät automaattisesti prosesseja RAM -muistiin tallennettujen tietojen purkamiseksi .
Sammuta tietokone uudelleen, kun olet tarkistanut kohdetallennuspaikan (johon varastetut tiedot on tallennettu), irrota USB OS Stick ja kävele pois

Mitkä tiedot ovat vaarassa Cold Boot Attacksissa^{(Cold Boot Attacks)}

Yleisimmät vaarassa olevat tiedot ovat levyn salausavaimet ja salasanat. Yleensä kylmäkäynnistyshyökkäyksen tavoitteena on hakea levyn salausavaimia laittomasti, ilman lupaa.

Viimeiset asiat, joita tapahtuu asianmukaisen sammutuksen aikana, ovat levyjen irrottaminen ja salausavaimien käyttäminen niiden salaamiseen, joten on mahdollista, että jos tietokone sammutetaan äkillisesti, tiedot voivat silti olla niille saatavilla.

Suojaa itsesi Cold Boot Attackilta^{(Cold Boot Attack)}

Henkilökohtaisella tasolla voit varmistaa, että pysyt lähellä tietokonettasi vähintään 5 minuuttia sen sammuttamisen jälkeen. Lisäksi yksi varotoimenpide on sammuttaa tietokone oikein sammutusvalikon avulla sen sijaan, että vedät sähköjohdosta tai käytät virtapainiketta tietokoneen sammuttamiseen.

Et voi tehdä paljon, koska se ei ole suurelta osin ohjelmistoongelma. Se liittyy enemmän laitteistoon. Joten laitevalmistajien tulisi tehdä aloite poistaakseen kaikki tiedot RAM -muistista mahdollisimman pian tietokoneen sammuttamisen jälkeen, jotta vältytään kylmäkäynnistyshyökkäykseltä ja suojellaan niiltä.

Jotkut tietokoneet korvaavat nyt RAM -muistin ennen kuin ne sammuvat kokonaan. Pakkosulkemisen mahdollisuus on kuitenkin aina olemassa.

BitLockerin^(BitLocker) käyttämä tekniikka on käyttää PIN -koodia RAM- muistin^(RAM) käyttämiseen . Vaikka tietokone olisi ollut horrostilassa (tietokone sammutetaan), kun käyttäjä herättää sen ja yrittää käyttää jotain, hänen on ensin syötettävä PIN -koodi päästäkseen RAM -muistiin . Tämä menetelmä ei myöskään ole idioottivarma, koska hakkerit voivat saada PIN -koodin jollakin tietojenkalastelu-^(Phishing) tai sosiaalisen tekniikan^{(Social Engineering)} menetelmistä .

Yhteenveto

Yllä oleva selittää, mitä kylmäkäynnistyshyökkäys on ja miten se toimii. On joitain rajoituksia, joiden vuoksi 100 % turvaa ei voida tarjota kylmäkäynnistyshyökkäystä vastaan. Mutta tietääkseni tietoturvayritykset pyrkivät löytämään paremman ratkaisun kuin pelkkä RAM -muistin uudelleenkirjoittaminen tai PIN -koodin käyttäminen ^(PIN)RAM -muistin sisällön suojaamiseksi .

Lue nyt^{(Now read)} : Mikä on surffaushyökkäys^{(What is a Surfing Attack)} ?

What is a Cold Boot Attack and how can you stay safe?

Cold Boot Attack is yet another method used to steal data. The only thing special is that they have direct access to your computer hardware or the whole computer. This article talks about what is Cold Boot Attack and how to stay safe from such techniques.

cold-boot-attack

What is Cold Boot Attack

In a Cold Boot Attack or a Platform Reset Attack, an attacker who has physical access to your computer does a cold reboot to restart the machine in order to retrieve encryption keys from the Windows operating system

They taught us in schools that RAM (Random Access Memory) is volatile and cannot hold data if the computer is switched off. What they should have told us should have been …cannot hold data for long if the computer is switched off. That means, RAM still holds data from few seconds to few minutes before it fades out due to lack of electricity supply. For an ultra-small period, anyone with proper tools can read the RAM and copy its contents to a safe, permanent storage using a different lightweight operating system on a USB stick or SD Card. Such an attack is called cold boot attack.

Imagine a computer lying unattended at some organization for a few minutes. Any hacker just has to set his tools in place and turn off the computer. As the RAM cools down (data fades out slowly), the hacker plugs in a bootable USB stick and boots via that. He or she can copy the contents into something like the same USB stick.

Since the nature of the attack is turning off the computer and then using the power switch to restart it, it is called cold boot. You might have learned about cold boot and warm boot in your early computing years. Cold boot is where you start a computer using the power switch. A Warm Boot is where you use the option of restarting a computer using the restart option in the shutdown menu.

Freezing the RAM

This is yet another trick on the sleeves of hackers. They can simply spray some substance (example: Liquid Nitrogen) on to RAM modules so that they freeze immediately. The lower the temperature, the longer RAM can hold information. Using this trick, they (hackers) can successfully complete a Cold Boot Attack and copy maximum data. To quicken the process, they use autorun files on the lightweight Operating System on USB Sticks or SD Cards that are booted soon after shutting down the computer being hacked.

Steps in a Cold Boot Attack

Not necessarily everyone uses attack styles similar to the one given below. However, most of the common steps are listed below.

Change the BIOS information to allow boot from USB first
Insert a bootable USB into the computer in question
Turn off the computer forcibly so that the processor doesn’t get time to dismount any encryption keys or other important data; know that a proper shutdown may too help but may not be as successful as a forced shut down by pressing the power key or other methods.
As soon as possible, using the power switch to cold boot the computer being hacked
Since the BIOS settings were changed, the OS on a USB stick is loaded
Even as this OS is being loaded, they autorun processes to extract data stored in RAM.
Turn off the computer again after checking the destination storage (where the stolen data is stored), remove the USB OS Stick, and walk away

What information is at risk in Cold Boot Attacks

Most common information/data at risk are disk encryption keys and passwords. Usually, the aim of a cold boot attack is to retrieve disk encryption keys illegally, without authorization.

The last things to happen when in a proper shutdown are dismounting the disks and using the encryption keys to encrypt them so it is possible that if a computer is turned off abruptly, the data might still be available for them.

Securing yourself from Cold Boot Attack

On a personal level, you can only make sure that you stay near your computer until at least 5 minutes after it is shut down. Plus one precaution is to shut down properly using the shutdown menu, instead of pulling the electric cord or using the power button to turn off the computer.

You can’t do much because it is not a software issue largely. It is related more to the hardware. So the equipment manufacturers should take the initiative to remove all data from RAM as soon as possible after a computer is turned off to avoid and protect you from cold boot attack.

Some computers now overwrite RAM before completely shut down. Still, the possibility of a forced shutdown is always there.

The technique used by BitLocker is to use a PIN to access RAM. Even if the computer has been hibernated (a state of turning off the computer), when the user wakes it up and tries to access anything, first he or she has to enter a PIN to access RAM. This method is also not fool-proof as hackers can get the PIN using one of the methods of Phishing or Social Engineering.

Summary

The above explains what a cold boot attack is and how it works. There are some restrictions due to which 100% security cannot be offered against a cold boot attack. But as far as I know, security companies are working to find a better fix than simply rewriting RAM or using a PIN to protect the contents of RAM.

Now read: What is a Surfing Attack?

Ritva Ruikka

About the author

Olen ohjelmistoinsinööri, jolla on yli 10 vuoden kokemus Windows-pohjaisten sovellusten suunnittelusta, rakentamisesta ja ylläpidosta. Olen myös perehtynyt tekstinkäsittelyyn, laskentataulukkolaskentaan ja esityksiin. Osaan kirjoittaa selkeitä ja ytimekkäitä kuvauksia koodista, selittää monimutkaisia käsitteitä aloitteleville kehittäjille ja tehdä vianmäärityksiä asiakkaille lennossa.

Mikä on kylmäkäynnistyshyökkäys ja kuinka voit pysyä turvassa?

Mikä on Cold Boot Attack

RAM-muistin jäädyttäminen

Askeleet kylmäkäynnistyshyökkäyksessä

Mitkä tiedot ovat vaarassa Cold Boot Attacksissa^{(Cold Boot Attacks)}

Suojaa itsesi Cold Boot Attackilta^{(Cold Boot Attack)}

Yhteenveto

What is a Cold Boot Attack and how can you stay safe?

What is Cold Boot Attack

Freezing the RAM

Steps in a Cold Boot Attack

What information is at risk in Cold Boot Attacks

Securing yourself from Cold Boot Attack

Summary

Ritva Ruikka

About the author

Related posts

Kuinka ottaa Retpoline manuaalisesti käyttöön Windows 10:ssä

Virheen, ongelman tai haavoittuvuuden ilmoittaminen Microsoftille

DLL-kaappauksen haavoittuvuuden hyökkäykset, ehkäisy ja havaitseminen

CSS Exfil Protection -selainlaajennus tarjoaa CSS Exfil -haavoittuvuushyökkäyksen

Bitdefender Home Scanner: Tarkista kotiverkkosi haavoittuvuuksien varalta

Kiintolevy ei näy käynnistysvalikossa

Korjaa NTLDR puuttuu, paina Ctrl-Alt-Del käynnistääksesi virheen uudelleen Windows 10:ssä

Windows-tietokoneen käynnistäminen tai korjaaminen asennusmedian avulla

Kuinka käyttää Avast Boot Scania haittaohjelmien poistamiseen Windows PC:stä

Virhe yritettäessä kopioida käynnistystiedostoja Windows 11/10:ssä

Suojaa tietokoneesi Master Boot Record MBR-suodattimella

SecPod Saner Personal: Ilmainen Advanced Vulnerability Scanner

Asennus epäonnistui SAFE_OS-vaiheessa BOOT-toiminnan aikana

Korjaa emolevyn virhekoodi 99 Windows-tietokoneissa

Korjataan levyvirheitä. Tämä saattaa kestää tunnin

Käynnistysmääritystietovarastoa ei voitu avata

Poista laatu- tai ominaisuuspäivitys, kun Windows 11/10 ei käynnisty

Puhtaan käynnistyksen suorittaminen Windows 11/10:ssä

Luo MultiBoot USB -muistitikku YUMI Multiboot USB Creator -sovelluksella

Mittaa käynnistysaika Windowsissa Windowsin käynnistysajastimella

Mikä on kylmäkäynnistyshyökkäys ja kuinka voit pysyä turvassa?

Mikä on Cold Boot Attack

RAM-muistin jäädyttäminen

Askeleet kylmäkäynnistyshyökkäyksessä

Mitkä tiedot ovat vaarassa Cold Boot Attacksissa(Cold Boot Attacks)

Suojaa itsesi Cold Boot Attackilta(Cold Boot Attack)

Yhteenveto

What is a Cold Boot Attack and how can you stay safe?

What is Cold Boot Attack

Freezing the RAM

Steps in a Cold Boot Attack

What information is at risk in Cold Boot Attacks

Securing yourself from Cold Boot Attack

Summary

Ritva Ruikka

About the author

Related posts

Kuinka ottaa Retpoline manuaalisesti käyttöön Windows 10:ssä

Virheen, ongelman tai haavoittuvuuden ilmoittaminen Microsoftille

DLL-kaappauksen haavoittuvuuden hyökkäykset, ehkäisy ja havaitseminen

CSS Exfil Protection -selainlaajennus tarjoaa CSS Exfil -haavoittuvuushyökkäyksen

Bitdefender Home Scanner: Tarkista kotiverkkosi haavoittuvuuksien varalta

Kiintolevy ei näy käynnistysvalikossa

Korjaa NTLDR puuttuu, paina Ctrl-Alt-Del käynnistääksesi virheen uudelleen Windows 10:ssä

Windows-tietokoneen käynnistäminen tai korjaaminen asennusmedian avulla

Kuinka käyttää Avast Boot Scania haittaohjelmien poistamiseen Windows PC:stä

Virhe yritettäessä kopioida käynnistystiedostoja Windows 11/10:ssä

Suojaa tietokoneesi Master Boot Record MBR-suodattimella

SecPod Saner Personal: Ilmainen Advanced Vulnerability Scanner

Asennus epäonnistui SAFE_OS-vaiheessa BOOT-toiminnan aikana

Korjaa emolevyn virhekoodi 99 Windows-tietokoneissa

Korjataan levyvirheitä. Tämä saattaa kestää tunnin

Käynnistysmääritystietovarastoa ei voitu avata

Poista laatu- tai ominaisuuspäivitys, kun Windows 11/10 ei käynnisty

Puhtaan käynnistyksen suorittaminen Windows 11/10:ssä

Luo MultiBoot USB -muistitikku YUMI Multiboot USB Creator -sovelluksella

Mittaa käynnistysaika Windowsissa Windowsin käynnistysajastimella

Mitkä tiedot ovat vaarassa Cold Boot Attacksissa^{(Cold Boot Attacks)}

Suojaa itsesi Cold Boot Attackilta^{(Cold Boot Attack)}