Το Cold Boot Attack^{(Cold Boot Attack)} είναι μια ακόμη μέθοδος που χρησιμοποιείται για την κλοπή δεδομένων. Το μόνο ιδιαίτερο είναι ότι έχουν άμεση πρόσβαση στο υλικό του υπολογιστή σας ή σε ολόκληρο τον υπολογιστή. Αυτό το άρθρο μιλάει για το τι είναι το Cold Boot Attack και πώς να μείνετε ασφαλείς από τέτοιες τεχνικές.

Τι είναι το Cold Boot Attack

Σε μια επίθεση ψυχρής εκκίνησης^{(Cold Boot Attack)} ή μια επίθεση επαναφοράς πλατφόρμας,^{(Platform Reset Attack,)} ένας εισβολέας που έχει φυσική πρόσβαση στον υπολογιστή σας κάνει μια ψυχρή επανεκκίνηση για να επανεκκινήσει το μηχάνημα προκειμένου να ανακτήσει τα κλειδιά κρυπτογράφησης από το λειτουργικό σύστημα Windows

Μας δίδαξαν στα σχολεία ότι η RAM ( Random Access Memory ) είναι ασταθής και δεν μπορεί να κρατήσει δεδομένα εάν ο υπολογιστής είναι απενεργοποιημένος. Αυτό που θα έπρεπε να μας είχαν πει ότι θα έπρεπε να ήταν … δεν μπορεί να κρατήσει δεδομένα για πολύ εάν ο υπολογιστής είναι απενεργοποιημένος^{(cannot hold data for long if the computer is switched off)} . Αυτό σημαίνει ότι η RAM εξακολουθεί να διατηρεί δεδομένα από λίγα δευτερόλεπτα έως λίγα λεπτά προτού εξαφανιστεί λόγω έλλειψης ηλεκτρικού ρεύματος. Για μια εξαιρετικά μικρή περίοδο, οποιοσδήποτε διαθέτει κατάλληλα εργαλεία μπορεί να διαβάσει τη μνήμη RAM^(RAM) και να αντιγράψει τα περιεχόμενά της σε μια ασφαλή, μόνιμη αποθήκευση χρησιμοποιώντας ένα διαφορετικό ελαφρύ λειτουργικό σύστημα σε ένα USB stick ή κάρτα SD^{(SD Card)} . Μια τέτοια επίθεση ονομάζεται επίθεση ψυχρής εκκίνησης.

Φανταστείτε έναν υπολογιστή να βρίσκεται χωρίς επίβλεψη σε κάποιον οργανισμό για λίγα λεπτά. Οποιοσδήποτε χάκερ πρέπει απλώς να βάλει τα εργαλεία του στη θέση τους και να απενεργοποιήσει τον υπολογιστή. Καθώς η μνήμη RAM^(RAM) κρυώνει (τα δεδομένα εξαφανίζονται αργά), ο χάκερ συνδέεται σε ένα USB stick με δυνατότητα εκκίνησης και εκκινεί μέσω αυτού. Αυτός ή αυτή μπορεί να αντιγράψει τα περιεχόμενα σε κάτι σαν το ίδιο USB stick.

Δεδομένου ότι η φύση της επίθεσης είναι η απενεργοποίηση του υπολογιστή και στη συνέχεια η χρήση του διακόπτη λειτουργίας για επανεκκίνηση, ονομάζεται ψυχρή εκκίνηση. Μπορεί να έχετε μάθει για την κρύα και τη ζεστή εκκίνηση στα πρώτα χρόνια της υπολογιστικής σας εργασίας. Η κρύα εκκίνηση είναι όπου ξεκινάτε έναν υπολογιστή χρησιμοποιώντας το διακόπτη λειτουργίας. Μια ζεστή εκκίνηση είναι όπου χρησιμοποιείτε την επιλογή επανεκκίνησης ενός υπολογιστή χρησιμοποιώντας την επιλογή επανεκκίνησης στο μενού τερματισμού λειτουργίας.

Πάγωμα της μνήμης RAM

Αυτό είναι ένα ακόμη κόλπο στα μανίκια των χάκερ. Μπορούν απλά να ψεκάσουν κάποια ουσία (παράδειγμα: Υγρό άζωτο^{(Liquid Nitrogen)} ) σε μονάδες RAM ώστε να παγώσουν αμέσως. Όσο χαμηλότερη είναι η θερμοκρασία, τόσο μεγαλύτερη είναι η μνήμη RAM^(RAM) που μπορεί να κρατήσει πληροφορίες. Χρησιμοποιώντας αυτό το τέχνασμα, αυτοί (χάκερ) μπορούν να ολοκληρώσουν με επιτυχία μια επίθεση Cold Boot^{(Cold Boot Attack)} και να αντιγράψουν τα μέγιστα δεδομένα. Για να επιταχύνουν τη διαδικασία, χρησιμοποιούν αρχεία αυτόματης εκτέλεσης στο ελαφρύ λειτουργικό σύστημα^(System) σε USB Sticks ή κάρτες SD που εκκινούνται αμέσως μετά τον τερματισμό της λειτουργίας του υπολογιστή που παραβιάζεται.

Βήματα σε μια επίθεση ψυχρής μπότας

Όχι απαραίτητα όλοι χρησιμοποιούν στυλ επίθεσης παρόμοια με αυτό που δίνεται παρακάτω. Ωστόσο, τα περισσότερα από τα κοινά βήματα παρατίθενται παρακάτω.

1. Αλλάξτε τις πληροφορίες του BIOS για να επιτρέψετε την εκκίνηση πρώτα από USB
2. Τοποθετήστε^(Insert) ένα bootable USB στον εν λόγω υπολογιστή
3. Απενεργοποιήστε τον υπολογιστή αναγκαστικά, έτσι ώστε ο επεξεργαστής να μην έχει χρόνο να αφαιρέσει τυχόν κλειδιά κρυπτογράφησης ή άλλα σημαντικά δεδομένα. να γνωρίζετε ότι ένας σωστός τερματισμός μπορεί επίσης να βοηθήσει, αλλά μπορεί να μην είναι τόσο επιτυχημένος όσο ένας αναγκαστικός τερματισμός λειτουργίας πατώντας το πλήκτρο λειτουργίας ή άλλες μεθόδους.
4. Το συντομότερο δυνατό, χρησιμοποιώντας το διακόπτη λειτουργίας για ψυχρή εκκίνηση του υπολογιστή που παραβιάζεται
5. Εφόσον άλλαξαν οι ρυθμίσεις του BIOS , φορτώνεται το λειτουργικό σύστημα σε ένα USB stick^(USB)
6. Ακόμη και όταν φορτώνεται αυτό το λειτουργικό σύστημα, εκτελούν αυτόματα διαδικασίες για εξαγωγή δεδομένων που είναι αποθηκευμένα στη μνήμη RAM^(RAM) .
7. Απενεργοποιήστε ξανά τον υπολογιστή αφού ελέγξετε τον χώρο αποθήκευσης προορισμού (όπου είναι αποθηκευμένα τα κλεμμένα δεδομένα), αφαιρέστε το USB OS Stick και απομακρυνθείτε

Ποιες πληροφορίες κινδυνεύουν στις Επιθέσεις Ψυχρής Μπότας^{(Cold Boot Attacks)}

Οι πιο κοινές πληροφορίες/δεδομένα σε κίνδυνο είναι τα κλειδιά κρυπτογράφησης δίσκου και οι κωδικοί πρόσβασης. Συνήθως, ο στόχος μιας επίθεσης ψυχρής εκκίνησης είναι η παράνομη ανάκτηση κλειδιών κρυπτογράφησης δίσκου, χωρίς εξουσιοδότηση.

Τα τελευταία πράγματα που συμβαίνουν κατά τον σωστό τερματισμό λειτουργίας είναι η αποσυναρμολόγηση των δίσκων και η χρήση των κλειδιών κρυπτογράφησης για την κρυπτογράφηση τους, ώστε να είναι πιθανό εάν ένας υπολογιστής απενεργοποιηθεί απότομα, τα δεδομένα να είναι ακόμα διαθέσιμα για αυτούς.

Ασφαλίστε τον εαυτό σας από το Cold Boot Attack

Σε προσωπικό επίπεδο, μπορείτε μόνο να βεβαιωθείτε ότι παραμένετε κοντά στον υπολογιστή σας μέχρι τουλάχιστον 5 λεπτά μετά τον τερματισμό της λειτουργίας του. Επιπλέον, μια προφύλαξη είναι να τερματίσετε σωστά τη λειτουργία χρησιμοποιώντας το μενού τερματισμού λειτουργίας, αντί να τραβήξετε το ηλεκτρικό καλώδιο ή να χρησιμοποιήσετε το κουμπί λειτουργίας για να απενεργοποιήσετε τον υπολογιστή.

Δεν μπορείτε να κάνετε πολλά γιατί δεν είναι σε μεγάλο βαθμό θέμα λογισμικού. Σχετίζεται περισσότερο με το υλικό. Επομένως, οι κατασκευαστές εξοπλισμού θα πρέπει να αναλάβουν την πρωτοβουλία να αφαιρέσουν όλα τα δεδομένα από τη μνήμη RAM^(RAM) το συντομότερο δυνατό μετά την απενεργοποίηση του υπολογιστή για να αποφύγουν και να σας προστατεύσουν από επίθεση ψυχρής εκκίνησης.

Ορισμένοι υπολογιστές αντικαθιστούν τώρα τη μνήμη RAM^(RAM) πριν τερματιστούν πλήρως. Ωστόσο, η πιθανότητα αναγκαστικής διακοπής λειτουργίας υπάρχει πάντα.

Η τεχνική που χρησιμοποιεί το BitLocker είναι η χρήση ενός PIN για πρόσβαση στη μνήμη RAM^(RAM) . Ακόμα κι αν ο υπολογιστής έχει τεθεί σε αδρανοποίηση (κατάσταση απενεργοποίησης του υπολογιστή), όταν ο χρήστης τον ξυπνά και προσπαθεί να έχει πρόσβαση σε οτιδήποτε, πρώτα πρέπει να εισαγάγει ένα PIN για πρόσβαση στη μνήμη RAM^(RAM) . Αυτή η μέθοδος επίσης δεν είναι αλάνθαστη, καθώς οι χάκερ μπορούν να λάβουν το PIN χρησιμοποιώντας μία από τις μεθόδους Phishing ή Κοινωνικής Μηχανικής^{(Social Engineering)} .

Περίληψη

Τα παραπάνω εξηγούν τι είναι η επίθεση με κρύα μπότα και πώς λειτουργεί. Υπάρχουν ορισμένοι περιορισμοί λόγω των οποίων δεν μπορεί να προσφερθεί 100% ασφάλεια έναντι επίθεσης ψυχρής εκκίνησης. Όμως, από όσο γνωρίζω, οι εταιρείες ασφαλείας εργάζονται για να βρουν μια καλύτερη λύση από το να ξαναγράψουν απλώς τη μνήμη RAM^(RAM) ή να χρησιμοποιήσουν ένα PIN για την προστασία του περιεχομένου της μνήμης RAM^(RAM) .

Διαβάστε τώρα^{(Now read)} : Τι είναι η επίθεση σερφ^{(What is a Surfing Attack)} ;

What is a Cold Boot Attack and how can you stay safe?

Cold Boot Attack is yet another method used to steal data. The only thing special is that they have direct access to your computer hardware or the whole computer. This article talks about what is Cold Boot Attack and how to stay safe from such techniques.

What is Cold Boot Attack

In a Cold Boot Attack or a Platform Reset Attack, an attacker who has physical access to your computer does a cold reboot to restart the machine in order to retrieve encryption keys from the Windows operating system

They taught us in schools that RAM (Random Access Memory) is volatile and cannot hold data if the computer is switched off. What they should have told us should have been …cannot hold data for long if the computer is switched off. That means, RAM still holds data from few seconds to few minutes before it fades out due to lack of electricity supply. For an ultra-small period, anyone with proper tools can read the RAM and copy its contents to a safe, permanent storage using a different lightweight operating system on a USB stick or SD Card. Such an attack is called cold boot attack.

Imagine a computer lying unattended at some organization for a few minutes. Any hacker just has to set his tools in place and turn off the computer. As the RAM cools down (data fades out slowly), the hacker plugs in a bootable USB stick and boots via that. He or she can copy the contents into something like the same USB stick.

Since the nature of the attack is turning off the computer and then using the power switch to restart it, it is called cold boot. You might have learned about cold boot and warm boot in your early computing years. Cold boot is where you start a computer using the power switch. A Warm Boot is where you use the option of restarting a computer using the restart option in the shutdown menu.

Freezing the RAM

This is yet another trick on the sleeves of hackers. They can simply spray some substance (example: Liquid Nitrogen) on to RAM modules so that they freeze immediately. The lower the temperature, the longer RAM can hold information. Using this trick, they (hackers) can successfully complete a Cold Boot Attack and copy maximum data. To quicken the process, they use autorun files on the lightweight Operating System on USB Sticks or SD Cards that are booted soon after shutting down the computer being hacked.

Steps in a Cold Boot Attack

Not necessarily everyone uses attack styles similar to the one given below. However, most of the common steps are listed below.

1. Change the BIOS information to allow boot from USB first
2. Insert a bootable USB into the computer in question
3. Turn off the computer forcibly so that the processor doesn’t get time to dismount any encryption keys or other important data; know that a proper shutdown may too help but may not be as successful as a forced shut down by pressing the power key or other methods.
4. As soon as possible, using the power switch to cold boot the computer being hacked
5. Since the BIOS settings were changed, the OS on a USB stick is loaded
6. Even as this OS is being loaded, they autorun processes to extract data stored in RAM.
7. Turn off the computer again after checking the destination storage (where the stolen data is stored), remove the USB OS Stick, and walk away

What information is at risk in Cold Boot Attacks

Most common information/data at risk are disk encryption keys and passwords. Usually, the aim of a cold boot attack is to retrieve disk encryption keys illegally, without authorization.

The last things to happen when in a proper shutdown are dismounting the disks and using the encryption keys to encrypt them so it is possible that if a computer is turned off abruptly, the data might still be available for them.

Securing yourself from Cold Boot Attack

On a personal level, you can only make sure that you stay near your computer until at least 5 minutes after it is shut down. Plus one precaution is to shut down properly using the shutdown menu, instead of pulling the electric cord or using the power button to turn off the computer.

You can’t do much because it is not a software issue largely. It is related more to the hardware. So the equipment manufacturers should take the initiative to remove all data from RAM as soon as possible after a computer is turned off to avoid and protect you from cold boot attack.

Some computers now overwrite RAM before completely shut down. Still, the possibility of a forced shutdown is always there.

The technique used by BitLocker is to use a PIN to access RAM. Even if the computer has been hibernated (a state of turning off the computer), when the user wakes it up and tries to access anything, first he or she has to enter a PIN to access RAM. This method is also not fool-proof as hackers can get the PIN using one of the methods of Phishing or Social Engineering.

Summary

The above explains what a cold boot attack is and how it works. There are some restrictions due to which 100% security cannot be offered against a cold boot attack. But as far as I know, security companies are working to find a better fix than simply rewriting RAM or using a PIN to protect the contents of RAM.

Now read: What is a Surfing Attack?

Related posts

• Πώς να ενεργοποιήσετε με μη αυτόματο τρόπο το Retpoline στα Windows 10

• Πώς να αναφέρετε Bug, Issue ή Vulnerability στη Microsoft

• Επιθέσεις ευπάθειας, πρόληψη και ανίχνευση κατά της πειρατείας DLL

• Η επέκταση προγράμματος περιήγησης CSS Exfil Protection προσφέρει επίθεση ευπάθειας CSS Exfil

• Bitdefender Home Scanner: Σαρώστε το οικιακό σας δίκτυο για τρωτά σημεία

• Πώς να αλλάξετε το προεπιλεγμένο λειτουργικό σύστημα. Αλλάξτε τις προεπιλογές εκκίνησης

• Ο υπολογιστής με Windows δεν θα εκκινήσει μετά την Επαναφορά Συστήματος

• Διόρθωση σφάλματος 1962, Δεν βρέθηκε λειτουργικό σύστημα σε υπολογιστές με Windows 11/10

• Σφάλμα 0211: Το πληκτρολόγιο δεν βρέθηκε στον υπολογιστή με Windows 10

• Προστατέψτε το Master Boot Record του υπολογιστή σας με το φίλτρο MBR

• Επεξήγηση των επιλογών εκκίνησης για προχωρημένους στο MSCONFIG στα Windows 11/10

• Επιδιόρθωση σφαλμάτων δίσκου. Μπορεί να χρειαστεί μια ώρα για να ολοκληρωθεί

• Τι είναι ένας ιός τομέας εκκίνησης και πώς να τον αποτρέψετε ή να τον αφαιρέσετε;

• Δεν ήταν δυνατό να ανοίξει ο χώρος αποθήκευσης δεδομένων διαμόρφωσης εκκίνησης

• Επιδιόρθωση PXE-E61, αποτυχία δοκιμής πολυμέσων, έλεγχος σφάλματος εκκίνησης καλωδίου στα Windows 11/10

• Αλλάξτε το κείμενο του μενού εκκίνησης, όταν γίνεται διπλή εκκίνηση της ίδιας έκδοσης των Windows

• Αποτυχία κατά την προσπάθεια αντιγραφής αρχείων εκκίνησης στα Windows 11/10

• Πώς να αλλάξετε τη σειρά εκκίνησης στα Windows 11/10

• Διορθώστε το BOOTMGR είναι συμπιεσμένο - Σφάλμα εκκίνησης των Windows 10

• Ενεργοποιήστε την προστασία ευπάθειας για έλεγχο σφάλματος υπολογιστή επεξεργαστή Intel