Cold Boot Attack er enda en metode brukt til å stjele data. Det eneste som er spesielt er at de har direkte tilgang til maskinvare eller hele datamaskinen. Denne artikkelen snakker om hva som er Cold Boot Attack og hvordan man kan holde seg trygg fra slike teknikker.
Hva er Cold Boot Attack
I en Cold Boot Attack eller a Platform Reset Attack, En angriper som har fysisk tilgang til datamaskinen, gjør en kald omstart for å starte maskinen på nytt for å hente krypteringsnøkler fra Windows-operativsystemet
De lærte oss på skolene at RAM (Random Access Memory) er flyktig og kan ikke holde data hvis datamaskinen er slått av. Hva de burde ha fortalt oss burde vært …kan ikke holde data lenge hvis datamaskinen er slått av. Det betyr at RAM fortsatt inneholder data fra få sekunder til få minutter før det fades ut på grunn av mangel på strømforsyning. I en ekstrem liten periode kan alle med riktige verktøy lese RAM og kopiere innholdet til et trygt, permanent lagringssystem ved hjelp av et annet lettvekts operativsystem på en USB-pinne eller SD-kort. Et slikt angrep kalles kaldt oppstart angrep.
Tenk deg en datamaskin som ligger uten tilsyn på noen organisasjon i noen minutter. Enhver hacker må bare sette verktøyene på plass og slå av datamaskinen. Når RAM-minne kjøler seg ned (data fades sakte ut), kobler hackeren i en oppstartbar USB-pinne og støvler via det. Han eller hun kan kopiere innholdet til noe som samme USB-pinne.
Siden angrepet er slått av datamaskinen, og deretter bruker du av / på-bryteren for å starte den på nytt, kalles den kaldstart. Du har kanskje lært om kaldstart og varmt støvel i dine tidlige beregningsår. Kaldstart er der du starter en datamaskin med strømbryteren. En varm oppstart er hvor du bruker muligheten til å starte en datamaskin på nytt ved hjelp av omstart-alternativet i nedleggingsmenyen.
Frysing av RAM
Dette er enda et triks på hackernes ermer. De kan bare sprøyte noe stoff (eksempel: Flytende nitrogen) på RAM-moduler slik at de fryser umiddelbart. Jo lavere temperaturen, desto lengre RAM kan holde informasjon. Ved hjelp av dette trikset kan de (hackere) fullføre et kaldstartangrep og kopiere maksimale data. For å forenkle prosessen bruker de autorunfiler på det lette operativsystemet på USB-pinner eller SD-kort som startes kort tid etter at datamaskinen slås av.
Trinn i et kaldt oppstartsspill
Ikke nødvendigvis alle bruker angrepstiler som ligner på den som er gitt nedenfor. Imidlertid er de fleste av de vanlige trinnene oppført nedenfor.
- Endre BIOS-informasjonen for å tillate oppstart fra USB først
- Sett inn en oppstartbar USB i den aktuelle datamaskinen
- Slå av datamaskinen med kraft slik at prosessoren ikke får tid til å demontere krypteringsnøkler eller annen viktig data; vet at en ordentlig nedleggelse også kan hjelpe, men kan ikke være så vellykket som en tvungen avslutning ved å trykke på strømknappen eller andre metoder.
- Så snart som mulig, bruk av strømbryteren til kaldstart datamaskinen blir hacket
- Siden BIOS-innstillingene ble endret, er operativsystemet på en USB-pinne lastet
- Selv når dette operativsystemet lastes, prosesserer de autorunene for å trekke ut data lagret i RAM.
- Slå av datamaskinen igjen etter å ha sjekket målplasseringen (hvor de stjålne dataene er lagret), fjern USB OS Stick, og gå bort
Hvilken informasjon er i fare i Cold Boot Attacks
Mest vanlige informasjon / data i fare er diskkrypteringsnøkler og passord. Vanligvis er målet med et kaldt støvelangrep å hente disk krypteringsnøkler ulovlig, uten autorisasjon.
De siste tingene som skal skje når de er i en skikkelig avstengning, demonterer diskene og bruker krypteringsnøklene for å kryptere dem, så det er mulig at dataene fortsatt er tilgjengelige for dem hvis en datamaskin er slått av.
Sikre deg selv fra Cold Boot Attack
På personlig nivå kan du bare sørge for at du holder deg nær datamaskinen din til minst 5 minutter etter at den er stengt. Pluss en forholdsregel er å stenge riktig ved hjelp av nedleggingsmenyen, i stedet for å trekke strømledningen eller bruke strømknappen for å slå av datamaskinen.
Du kan ikke gjøre mye fordi det ikke er et programvareproblem i stor grad. Det er relatert mer til maskinvaren. Derfor bør utstyrsleverandørene ta initiativ til å fjerne all data fra RAM så snart som mulig etter at en datamaskin er slått av for å unngå og beskytte deg mot kaldstartangrep.
Enkelte datamaskiner overskriver nå RAM før de slås helt av. Likevel er muligheten for tvungen avslutning alltid der.
Teknikken som brukes av BitLocker, er å bruke en PIN-kode for å få tilgang til RAM. Selv om datamaskinen har vært dvalemodus (en tilstand for å slå av datamaskinen), når brukeren vekker den opp og prøver å få tilgang til noe, må han eller hun først taste inn en PIN-kode for å få tilgang til RAM. Denne metoden er heller ikke idiotsikker som hackere kan få PIN-koden ved hjelp av en av metodene for phishing eller sosialteknikk.
Sammendrag
Ovenstående forklarer hva et kaldt støvelangrep er og hvordan det fungerer. Det er noen begrensninger som skyldes at 100% sikkerhet ikke kan tilbys mot et kaldt støvelangrep. Men så vidt jeg vet, jobber sikkerhetsselskaper for å finne en bedre løsning enn å bare omskrive RAM eller bruke en PIN-kode for å beskytte innholdet i RAM.
Relaterte innlegg:
- Best 8 Compute Stick-PCer som du kan kjøpe
- Windows 8 Shutdown eller Restart - 10 forskjellige måter å gjøre det på
- Slik aktiverer og konfigurerer du gruppepolicy for PIN-kompleksitet i Windows 10
- TrueCrypt-alternativer: AESCrypt, FreeOTFE og DiskCryptor
- Oppholder seg trygt på Internett med Java; eller være tryggere uten det!