Cold Boot Attack é outro método usado para roubar dados. A única coisa especial é que eles têm acesso direto ao hardware do seu computador ou a todo o computador. Este artigo fala sobre o que é Cold Boot Attack e como se proteger de tais técnicas.

O que é Cold Boot Attack

Em um Cold Boot Attack ou Platform Reset Attack, um invasor que tem acesso físico ao seu computador faz uma reinicialização a frio para reiniciar a máquina a fim de recuperar as chaves de criptografia do sistema operacional Windows

Eles nos ensinaram nas escolas que a RAM ( Random Access Memory ) é volátil e não pode armazenar dados se o computador estiver desligado. O que eles deveriam ter nos dito deveria ter sido... não pode armazenar dados por muito tempo se o computador estiver desligado^{(cannot hold data for long if the computer is switched off)} . Isso significa que a RAM ainda mantém os dados de alguns segundos a alguns minutos antes de desaparecer devido à falta de fornecimento de eletricidade. Por um período ultra-pequeno, qualquer pessoa com ferramentas adequadas pode ler a RAM e copiar seu conteúdo para um armazenamento seguro e permanente usando um sistema operacional leve diferente em um pendrive^(USB) ou cartão SD^{(SD Card)} . Tal ataque é chamado de ataque de inicialização a frio.

Imagine um computador abandonado em alguma organização por alguns minutos. Qualquer hacker só precisa colocar suas ferramentas no lugar e desligar o computador. À medida que a RAM esfria (os dados desaparecem lentamente), o hacker conecta um pendrive^(USB) inicializável e inicializa por meio dele. Ele ou ela pode copiar o conteúdo em algo como o mesmo pendrive^(USB) .

Como a natureza do ataque é desligar o computador e usar o botão liga/desliga para reiniciá-lo, ele é chamado de inicialização a frio. Você pode ter aprendido sobre inicialização a frio e inicialização a quente em seus primeiros anos de computação. A inicialização a frio é onde você inicia um computador usando o botão liga / desliga. Uma inicialização a quente é onde você usa a opção de reiniciar um computador usando a opção de reinicialização no menu de desligamento.

Congelando a RAM

Este é mais um truque nas mangas dos hackers. Eles podem simplesmente borrifar alguma substância (exemplo: Nitrogênio Líquido^{(Liquid Nitrogen)} ) nos módulos de RAM para que eles congelem imediatamente. Quanto mais baixa a temperatura, mais tempo a RAM pode armazenar informações. Usando este truque, eles (hackers) podem completar com sucesso um Cold Boot Attack e copiar o máximo de dados. Para acelerar o processo, eles usam arquivos de execução automática no sistema^(System) operacional leve em pen drives^{(USB Sticks)} ou cartões SD que são inicializados logo após o desligamento do computador que está sendo invadido.

Etapas em um ataque de inicialização a frio

Nem necessariamente todos usam estilos de ataque semelhantes ao fornecido abaixo. No entanto, a maioria das etapas comuns estão listadas abaixo.

1. Altere as informações do BIOS para permitir a inicialização do USB primeiro
2. Insira um ^(Insert)USB inicializável no computador em questão
3. Desligue o computador à força para que o processador não tenha tempo de desmontar nenhuma chave de criptografia ou outros dados importantes; saiba que um desligamento adequado também pode ajudar, mas pode não ser tão bem-sucedido quanto um desligamento forçado pressionando a tecla liga / desliga ou outros métodos.
4. O mais rápido possível, usando o botão liga / desliga para inicializar a frio o computador que está sendo invadido
5. Como as configurações do BIOS foram alteradas, o sistema operacional em um pendrive^(USB) é carregado
6. Mesmo enquanto este sistema operacional está sendo carregado, eles executam automaticamente processos para extrair dados armazenados na RAM .
7. Desligue o computador novamente após verificar o armazenamento de destino (onde os dados roubados estão armazenados), remova o USB OS Stick e vá embora

Quais informações estão em risco em ataques de inicialização a frio^{(Cold Boot Attacks)}

As informações/dados mais comuns em risco são as chaves e senhas de criptografia de disco. Normalmente, o objetivo de um ataque de inicialização a frio é recuperar chaves de criptografia de disco ilegalmente, sem autorização.

As últimas coisas que acontecem quando em um desligamento adequado são desmontar os discos e usar as chaves de criptografia para criptografá-los, então é possível que, se um computador for desligado abruptamente, os dados ainda estejam disponíveis para eles.

Protegendo-se do Cold Boot Attack

Em um nível pessoal, você só pode se certificar de ficar perto de seu computador até pelo menos 5 minutos após ele ser desligado. Além disso, uma precaução é desligar corretamente usando o menu de desligamento, em vez de puxar o cabo elétrico ou usar o botão liga / desliga para desligar o computador.

Você não pode fazer muito porque não é um problema de software em grande parte. Está mais relacionado ao hardware. Portanto, os fabricantes de equipamentos devem tomar a iniciativa de remover todos os dados da RAM o mais rápido possível após o desligamento de um computador para evitar e protegê-lo de ataques de inicialização a frio.

Alguns computadores agora substituem a RAM antes de serem completamente desligados. Ainda assim, a possibilidade de um desligamento forçado está sempre presente.

A técnica usada pelo BitLocker é usar um PIN para acessar a RAM . Mesmo que o computador tenha sido hibernado (um estado de desligamento do computador), quando o usuário o acorda e tenta acessar qualquer coisa, primeiro ele deve inserir um PIN para acessar a RAM . Esse método também não é infalível, pois os hackers podem obter o PIN usando um dos métodos de Phishing ou Engenharia Social^{(Social Engineering)} .

Resumo

A descrição acima explica o que é um ataque de inicialização a frio e como ele funciona. Existem algumas restrições devido às quais 100% de segurança não pode ser oferecida contra um ataque de inicialização a frio. Mas até onde eu sei, as empresas de segurança estão trabalhando para encontrar uma solução melhor do que simplesmente reescrever a RAM ou usar um PIN para proteger o conteúdo da RAM .

Agora leia^{(Now read)} : O que é um ataque de surf^{(What is a Surfing Attack)} ?

What is a Cold Boot Attack and how can you stay safe?

Cold Boot Attack is yet another method used to steal data. The only thing special is that they have direct access to your computer hardware or the whole computer. This article talks about what is Cold Boot Attack and how to stay safe from such techniques.

What is Cold Boot Attack

In a Cold Boot Attack or a Platform Reset Attack, an attacker who has physical access to your computer does a cold reboot to restart the machine in order to retrieve encryption keys from the Windows operating system

They taught us in schools that RAM (Random Access Memory) is volatile and cannot hold data if the computer is switched off. What they should have told us should have been …cannot hold data for long if the computer is switched off. That means, RAM still holds data from few seconds to few minutes before it fades out due to lack of electricity supply. For an ultra-small period, anyone with proper tools can read the RAM and copy its contents to a safe, permanent storage using a different lightweight operating system on a USB stick or SD Card. Such an attack is called cold boot attack.

Imagine a computer lying unattended at some organization for a few minutes. Any hacker just has to set his tools in place and turn off the computer. As the RAM cools down (data fades out slowly), the hacker plugs in a bootable USB stick and boots via that. He or she can copy the contents into something like the same USB stick.

Since the nature of the attack is turning off the computer and then using the power switch to restart it, it is called cold boot. You might have learned about cold boot and warm boot in your early computing years. Cold boot is where you start a computer using the power switch. A Warm Boot is where you use the option of restarting a computer using the restart option in the shutdown menu.

Freezing the RAM

This is yet another trick on the sleeves of hackers. They can simply spray some substance (example: Liquid Nitrogen) on to RAM modules so that they freeze immediately. The lower the temperature, the longer RAM can hold information. Using this trick, they (hackers) can successfully complete a Cold Boot Attack and copy maximum data. To quicken the process, they use autorun files on the lightweight Operating System on USB Sticks or SD Cards that are booted soon after shutting down the computer being hacked.

Steps in a Cold Boot Attack

Not necessarily everyone uses attack styles similar to the one given below. However, most of the common steps are listed below.

1. Change the BIOS information to allow boot from USB first
2. Insert a bootable USB into the computer in question
3. Turn off the computer forcibly so that the processor doesn’t get time to dismount any encryption keys or other important data; know that a proper shutdown may too help but may not be as successful as a forced shut down by pressing the power key or other methods.
4. As soon as possible, using the power switch to cold boot the computer being hacked
5. Since the BIOS settings were changed, the OS on a USB stick is loaded
6. Even as this OS is being loaded, they autorun processes to extract data stored in RAM.
7. Turn off the computer again after checking the destination storage (where the stolen data is stored), remove the USB OS Stick, and walk away

What information is at risk in Cold Boot Attacks

Most common information/data at risk are disk encryption keys and passwords. Usually, the aim of a cold boot attack is to retrieve disk encryption keys illegally, without authorization.

The last things to happen when in a proper shutdown are dismounting the disks and using the encryption keys to encrypt them so it is possible that if a computer is turned off abruptly, the data might still be available for them.

Securing yourself from Cold Boot Attack

On a personal level, you can only make sure that you stay near your computer until at least 5 minutes after it is shut down. Plus one precaution is to shut down properly using the shutdown menu, instead of pulling the electric cord or using the power button to turn off the computer.

You can’t do much because it is not a software issue largely. It is related more to the hardware. So the equipment manufacturers should take the initiative to remove all data from RAM as soon as possible after a computer is turned off to avoid and protect you from cold boot attack.

Some computers now overwrite RAM before completely shut down. Still, the possibility of a forced shutdown is always there.

The technique used by BitLocker is to use a PIN to access RAM. Even if the computer has been hibernated (a state of turning off the computer), when the user wakes it up and tries to access anything, first he or she has to enter a PIN to access RAM. This method is also not fool-proof as hackers can get the PIN using one of the methods of Phishing or Social Engineering.

Summary

The above explains what a cold boot attack is and how it works. There are some restrictions due to which 100% security cannot be offered against a cold boot attack. But as far as I know, security companies are working to find a better fix than simply rewriting RAM or using a PIN to protect the contents of RAM.

Now read: What is a Surfing Attack?

Related posts

• Como habilitar manualmente Retpoline no Windows 10

• Como denunciar Bug, Issue or Vulnerability para Microsoft

• DLL Hijacking Vulnerability Attacks, Prevention & Detection

• ataque CSS Exfil Protection extensão do navegador ofertas CSS Exfil vulnerability

• Bitdefender Home Scanner: Analise o seu Home Network para vulnerabilidades

• BitLocker Setup Falha ao exportar a loja BCD (Boot Configuration Data)

• Fix NTLDR está faltando, Press Ctrl-Alt-Del para reiniciar erro no Windows 10

• O Windows 10 não inicializa após a restauração System

• Como mudar Boot order em Windows 10

• Please formato do USB drive como único FAT partition: Boot Camp Assistant

• Desinstalar o Quality or Feature Update quando o Windows 10 não inicializa

• Fix Motherboard error code 99 em computadores Windows

• Como alterar o sistema operacional padrão; Change Boot Padrões

• Como executar Clean Boot em Windows 10

• O aplicativo falhou em inicializar corretamente (0xc0000135)

• Proteja o Master Boot Record do seu computador com MBR Filter

• Microsoft Surface não liga, inicie ou acorde de Sleep

• Fix BOOTMGR é comprimido - Windows 10 startup error

• Ativar proteção Intel Processor Machine Check Error vulnerability

• O que é Fast Startup e como ativar ou desativá-lo em Windows 10