Цолд Боот Аттацк^{(Cold Boot Attack)} је још један метод који се користи за крађу података. Једина ствар је посебна је то што имају директан приступ хардверу вашег рачунара или целом рачунару. Овај чланак говори о томе шта је напад хладног покретања^{(Boot Attack)} и како се заштитити од таквих техника.

Шта је напад хладног покретања

У нападу хладног покретања^{(Cold Boot Attack)} или нападу на ресетовање платформе,^{(Platform Reset Attack,)} нападач који има физички приступ вашем рачунару врши хладно поновно покретање да би поново покренуо машину како би преузео кључеве за шифровање из оперативног система Виндовс^(Windows)

У школама су нас учили да је РАМ^(RAM) ( Рандом Аццесс Мемори^{(Random Access Memory)} ) нестабилна и да не може да задржи податке ако је рачунар искључен. Оно што су требали да нам кажу требало је да ... не може дуго да задржи податке ако је рачунар искључен^{(cannot hold data for long if the computer is switched off)} . То значи да РАМ^(RAM) и даље држи податке од неколико секунди до неколико минута пре него што нестане због недостатка напајања. Током изузетно малог периода, свако са одговарајућим алатима може да прочита РАМ меморију^(RAM) и копира њен садржај у безбедно, трајно складиште користећи другачији лагани оперативни систем на УСБ^(USB) стику или СД картици^{(SD Card)} . Такав напад се назива напад хладног покретања.

Замислите да рачунар лежи без надзора у некој организацији неколико минута. Сваки хакер само мора да постави своје алате на место и искључи рачунар. Како се РАМ меморија^(RAM) хлади (подаци полако нестају), хакер укључује УСБ^(USB) стицк за покретање и покреће се преко њега. Он или она могу копирати садржај на нешто попут истог УСБ^(USB) стицка.

Пошто је природа напада искључивање рачунара, а затим коришћење прекидача за напајање за поновно покретање, назива се хладно покретање. Можда сте научили о хладном покретању и топлом покретању у раним рачунарским годинама. Хладно покретање је место где покрећете рачунар помоћу прекидача за напајање. Топло покретање је место где користите опцију поновног покретања рачунара помоћу опције рестартовања у менију за искључивање.

Замрзавање РАМ-а

Ово је још један трик у рукавима хакера. Они једноставно могу да попрскају неку супстанцу (пример: течни азот^{(Liquid Nitrogen)} ) на РАМ^(RAM) модуле тако да се одмах замрзну. Што је температура нижа, РАМ меморија^(RAM) дуже може да држи информације. Користећи овај трик, они (хакери) могу успешно да заврше напад хладног покретања^{(Cold Boot Attack)} и копирају максимум података. Да би убрзали процес, они користе датотеке за аутоматско покретање на лаганом оперативном систему^(System) на УСБ стиковима^{(USB Sticks)} или СД картицама које се покрећу убрзо након искључивања рачунара који је хакован.

Кораци у нападу хладног покретања

Није нужно да сви користе стилове напада сличне доле датом. Међутим, већина уобичајених корака је наведена у наставку.

1. Промените БИОС^(BIOS) информације да бисте прво омогућили покретање са УСБ -а^(USB)
2. Уметните ^(Insert)УСБ^(USB) за покретање у дотични рачунар
3. Насилно искључите рачунар како процесор не би имао времена да демонтира кључеве за шифровање или друге важне податке; знајте да правилно гашење може такође помоћи, али можда неће бити тако успешно као принудно гашење притиском на тастер за укључивање или на друге методе.
4. Што је пре могуће, помоћу прекидача за напајање хладно покрените рачунар који се хакује
5. Пошто су БИОС^(BIOS) подешавања промењена, учитава се ОС на УСБ^(USB) стицку
6. Чак и док се овај ОС учитава, они аутоматски покрећу процесе за издвајање података ускладиштених у РАМ-^(RAM) у .
7. Поново искључите рачунар након што проверите одредишно складиште (где су похрањени украдени подаци), уклоните УСБ ОС Стицк^{(USB OS Stick)} и удаљите се

Које информације су угрожене у нападима хладног покретања^{(Cold Boot Attacks)}

Најчешће угрожене информације/подаци су кључеви за шифровање диска и лозинке. Обично је циљ напада хладног покретања да се незаконито, без овлашћења, дохвате кључеви за шифровање диска.

Последње ствари које се дешавају приликом правилног искључивања су демонтажа дискова и коришћење кључева за шифровање за њихово шифровање, тако да је могуће да ако се рачунар нагло искључи, подаци могу и даље бити доступни за њих.

Осигурајте се од напада хладног покретања^{(Cold Boot Attack)}

На личном нивоу, можете се побринути да останете у близини рачунара најмање 5 минута након што се искључи. Плус једна мера предострожности је да се правилно искључите помоћу менија за искључивање, уместо да повучете електрични кабл или користите дугме за напајање да бисте искључили рачунар.

Не можете много да урадите јер то углавном није проблем софтвера. То је више повезано са хардвером. Стога би произвођачи опреме требало да преузму иницијативу да уклоне све податке из РАМ меморије^(RAM) што је пре могуће након што се рачунар искључи како би вас избегли и заштитили од напада хладног покретања.

Неки рачунари сада замењују РАМ^(RAM) пре него што се потпуно искључе. Ипак, могућност принудног гашења увек постоји.

Техника коју користи БитЛоцкер^(BitLocker) је коришћење ПИН^(PIN) -а за приступ РАМ меморији^(RAM) . Чак и ако је рачунар био у хибернацији (стање искључивања рачунара), када га корисник пробуди и покуша да приступи било чему, прво мора да унесе ПИН^(PIN) да би приступио РАМ-^(RAM) у . Овај метод такође није сигуран јер хакери могу да добију ПИН^(PIN) користећи један од метода „ пхисхинг^(Phishing) “ или друштвеног инжењеринга^{(Social Engineering)} .

Резиме

Горе наведено објашњава шта је напад хладног покретања и како функционише. Постоје нека ограничења због којих се не може понудити 100% сигурност против напада хладног покретања. Али колико ја знам, безбедносне компаније раде на проналажењу бољег решења од једноставног поновног писања РАМ-а^(RAM) или коришћења ПИН^(PIN) -а за заштиту садржаја РАМ-а^(RAM) .

Сада прочитајте^{(Now read)} : Шта је напад сурфовања^{(What is a Surfing Attack)} ?

What is a Cold Boot Attack and how can you stay safe?

Cold Boot Attack is yet another method used to steal data. The only thing special is that they have direct access to your computer hardware or the whole computer. This article talks about what is Cold Boot Attack and how to stay safe from such techniques.

What is Cold Boot Attack

In a Cold Boot Attack or a Platform Reset Attack, an attacker who has physical access to your computer does a cold reboot to restart the machine in order to retrieve encryption keys from the Windows operating system

They taught us in schools that RAM (Random Access Memory) is volatile and cannot hold data if the computer is switched off. What they should have told us should have been …cannot hold data for long if the computer is switched off. That means, RAM still holds data from few seconds to few minutes before it fades out due to lack of electricity supply. For an ultra-small period, anyone with proper tools can read the RAM and copy its contents to a safe, permanent storage using a different lightweight operating system on a USB stick or SD Card. Such an attack is called cold boot attack.

Imagine a computer lying unattended at some organization for a few minutes. Any hacker just has to set his tools in place and turn off the computer. As the RAM cools down (data fades out slowly), the hacker plugs in a bootable USB stick and boots via that. He or she can copy the contents into something like the same USB stick.

Since the nature of the attack is turning off the computer and then using the power switch to restart it, it is called cold boot. You might have learned about cold boot and warm boot in your early computing years. Cold boot is where you start a computer using the power switch. A Warm Boot is where you use the option of restarting a computer using the restart option in the shutdown menu.

Freezing the RAM

This is yet another trick on the sleeves of hackers. They can simply spray some substance (example: Liquid Nitrogen) on to RAM modules so that they freeze immediately. The lower the temperature, the longer RAM can hold information. Using this trick, they (hackers) can successfully complete a Cold Boot Attack and copy maximum data. To quicken the process, they use autorun files on the lightweight Operating System on USB Sticks or SD Cards that are booted soon after shutting down the computer being hacked.

Steps in a Cold Boot Attack

Not necessarily everyone uses attack styles similar to the one given below. However, most of the common steps are listed below.

1. Change the BIOS information to allow boot from USB first
2. Insert a bootable USB into the computer in question
3. Turn off the computer forcibly so that the processor doesn’t get time to dismount any encryption keys or other important data; know that a proper shutdown may too help but may not be as successful as a forced shut down by pressing the power key or other methods.
4. As soon as possible, using the power switch to cold boot the computer being hacked
5. Since the BIOS settings were changed, the OS on a USB stick is loaded
6. Even as this OS is being loaded, they autorun processes to extract data stored in RAM.
7. Turn off the computer again after checking the destination storage (where the stolen data is stored), remove the USB OS Stick, and walk away

What information is at risk in Cold Boot Attacks

Most common information/data at risk are disk encryption keys and passwords. Usually, the aim of a cold boot attack is to retrieve disk encryption keys illegally, without authorization.

The last things to happen when in a proper shutdown are dismounting the disks and using the encryption keys to encrypt them so it is possible that if a computer is turned off abruptly, the data might still be available for them.

Securing yourself from Cold Boot Attack

On a personal level, you can only make sure that you stay near your computer until at least 5 minutes after it is shut down. Plus one precaution is to shut down properly using the shutdown menu, instead of pulling the electric cord or using the power button to turn off the computer.

You can’t do much because it is not a software issue largely. It is related more to the hardware. So the equipment manufacturers should take the initiative to remove all data from RAM as soon as possible after a computer is turned off to avoid and protect you from cold boot attack.

Some computers now overwrite RAM before completely shut down. Still, the possibility of a forced shutdown is always there.

The technique used by BitLocker is to use a PIN to access RAM. Even if the computer has been hibernated (a state of turning off the computer), when the user wakes it up and tries to access anything, first he or she has to enter a PIN to access RAM. This method is also not fool-proof as hackers can get the PIN using one of the methods of Phishing or Social Engineering.

Summary

The above explains what a cold boot attack is and how it works. There are some restrictions due to which 100% security cannot be offered against a cold boot attack. But as far as I know, security companies are working to find a better fix than simply rewriting RAM or using a PIN to protect the contents of RAM.

Now read: What is a Surfing Attack?

Related posts

• Како ручно омогућити Ретполине на Виндовс 10

• Како пријавити грешку, проблем или рањивост Мицрософт-у

• Напади рањивости на отмицу ДЛЛ-а, превенција и откривање

• Екстензија претраживача ЦСС Екфил Протецтион нуди напад на ЦСС Екфил рањивост

• Битдефендер кућни скенер: Скенирајте своју кућну мрежу у потрази за рањивостима

• Верзија оперативног система није компатибилна са поправком при покретању

• Заштитите главни запис за покретање рачунара помоћу МБР филтера

• Како променити редослед покретања у оперативном систему Виндовс 11/10

• Како онемогућити безбедно покретање у оперативном систему Виндовс 11/10

• Грешка 0211: Тастатура није пронађена на Виндовс 10 рачунару

• Чврсти диск се не приказује у менију за покретање

• Виндовс не успева да се покрене; Аутоматска поправка при покретању, ресетовање рачунара не успе, иде у петљу

• Објашњене су напредне опције покретања у МСЦОНФИГ-у у оперативном систему Виндовс 11/10

• Шта је вирус покретачког сектора и како их спречити или уклонити?

• Виндовс је заглављен на екрану добродошлице

• Исправите недостатак НТЛДР-а, притисните Цтрл-Алт-Дел да бисте поново покренули грешку у оперативном систему Виндовс 10

• Како покренути или поправити Виндовс рачунар помоћу инсталационог медија

• Како да поправите Старт ПКСЕ преко ИПв4 у оперативном систему Виндовс 11/10

• БитЛоцкер подешавање није успело да извезе БЦД (подаци о конфигурацији покретања) складиште

• Направите МултиБоот УСБ флеш диск користећи ИУМИ Мултибоот УСБ Цреатор