O que é um Cold Boot Attack e como você pode se manter seguro?
Cold Boot Attack é outro método usado para roubar dados. A única coisa especial é que eles têm acesso direto ao hardware do seu computador ou a todo o computador. Este artigo fala sobre o que é Cold Boot Attack e como se proteger de tais técnicas.
O que é Cold Boot Attack
Em um Cold Boot Attack ou Platform Reset Attack, um invasor que tem acesso físico ao seu computador faz uma reinicialização a frio para reiniciar a máquina a fim de recuperar as chaves de criptografia do sistema operacional Windows
Eles nos ensinaram nas escolas que a RAM ( Random Access Memory ) é volátil e não pode armazenar dados se o computador estiver desligado. O que eles deveriam ter nos dito deveria ter sido... não pode armazenar dados por muito tempo se o computador estiver desligado(cannot hold data for long if the computer is switched off) . Isso significa que a RAM ainda mantém os dados de alguns segundos a alguns minutos antes de desaparecer devido à falta de fornecimento de eletricidade. Por um período ultra-pequeno, qualquer pessoa com ferramentas adequadas pode ler a RAM e copiar seu conteúdo para um armazenamento seguro e permanente usando um sistema operacional leve diferente em um pendrive(USB) ou cartão SD(SD Card) . Tal ataque é chamado de ataque de inicialização a frio.
Imagine um computador abandonado em alguma organização por alguns minutos. Qualquer hacker só precisa colocar suas ferramentas no lugar e desligar o computador. À medida que a RAM esfria (os dados desaparecem lentamente), o hacker conecta um pendrive(USB) inicializável e inicializa por meio dele. Ele ou ela pode copiar o conteúdo em algo como o mesmo pendrive(USB) .
Como a natureza do ataque é desligar o computador e usar o botão liga/desliga para reiniciá-lo, ele é chamado de inicialização a frio. Você pode ter aprendido sobre inicialização a frio e inicialização a quente em seus primeiros anos de computação. A inicialização a frio é onde você inicia um computador usando o botão liga / desliga. Uma inicialização a quente é onde você usa a opção de reiniciar um computador usando a opção de reinicialização no menu de desligamento.
Congelando a RAM
Este é mais um truque nas mangas dos hackers. Eles podem simplesmente borrifar alguma substância (exemplo: Nitrogênio Líquido(Liquid Nitrogen) ) nos módulos de RAM para que eles congelem imediatamente. Quanto mais baixa a temperatura, mais tempo a RAM pode armazenar informações. Usando este truque, eles (hackers) podem completar com sucesso um Cold Boot Attack e copiar o máximo de dados. Para acelerar o processo, eles usam arquivos de execução automática no sistema(System) operacional leve em pen drives(USB Sticks) ou cartões SD que são inicializados logo após o desligamento do computador que está sendo invadido.
Etapas em um ataque de inicialização a frio
Nem necessariamente todos usam estilos de ataque semelhantes ao fornecido abaixo. No entanto, a maioria das etapas comuns estão listadas abaixo.
- Altere as informações do BIOS para permitir a inicialização do USB primeiro
- Insira um (Insert)USB inicializável no computador em questão
- Desligue o computador à força para que o processador não tenha tempo de desmontar nenhuma chave de criptografia ou outros dados importantes; saiba que um desligamento adequado também pode ajudar, mas pode não ser tão bem-sucedido quanto um desligamento forçado pressionando a tecla liga / desliga ou outros métodos.
- O mais rápido possível, usando o botão liga / desliga para inicializar a frio o computador que está sendo invadido
- Como as configurações do BIOS foram alteradas, o sistema operacional em um pendrive(USB) é carregado
- Mesmo enquanto este sistema operacional está sendo carregado, eles executam automaticamente processos para extrair dados armazenados na RAM .
- Desligue o computador novamente após verificar o armazenamento de destino (onde os dados roubados estão armazenados), remova o USB OS Stick e vá embora
Quais informações estão em risco em ataques de inicialização a frio(Cold Boot Attacks)
As informações/dados mais comuns em risco são as chaves e senhas de criptografia de disco. Normalmente, o objetivo de um ataque de inicialização a frio é recuperar chaves de criptografia de disco ilegalmente, sem autorização.
As últimas coisas que acontecem quando em um desligamento adequado são desmontar os discos e usar as chaves de criptografia para criptografá-los, então é possível que, se um computador for desligado abruptamente, os dados ainda estejam disponíveis para eles.
Protegendo-se do Cold Boot Attack
Em um nível pessoal, você só pode se certificar de ficar perto de seu computador até pelo menos 5 minutos após ele ser desligado. Além disso, uma precaução é desligar corretamente usando o menu de desligamento, em vez de puxar o cabo elétrico ou usar o botão liga / desliga para desligar o computador.
Você não pode fazer muito porque não é um problema de software em grande parte. Está mais relacionado ao hardware. Portanto, os fabricantes de equipamentos devem tomar a iniciativa de remover todos os dados da RAM o mais rápido possível após o desligamento de um computador para evitar e protegê-lo de ataques de inicialização a frio.
Alguns computadores agora substituem a RAM antes de serem completamente desligados. Ainda assim, a possibilidade de um desligamento forçado está sempre presente.
A técnica usada pelo BitLocker é usar um PIN para acessar a RAM . Mesmo que o computador tenha sido hibernado (um estado de desligamento do computador), quando o usuário o acorda e tenta acessar qualquer coisa, primeiro ele deve inserir um PIN para acessar a RAM . Esse método também não é infalível, pois os hackers podem obter o PIN usando um dos métodos de Phishing ou Engenharia Social(Social Engineering) .
Resumo
A descrição acima explica o que é um ataque de inicialização a frio e como ele funciona. Existem algumas restrições devido às quais 100% de segurança não pode ser oferecida contra um ataque de inicialização a frio. Mas até onde eu sei, as empresas de segurança estão trabalhando para encontrar uma solução melhor do que simplesmente reescrever a RAM ou usar um PIN para proteger o conteúdo da RAM .
Agora leia(Now read) : O que é um ataque de surf(What is a Surfing Attack) ?
Related posts
Como habilitar manualmente Retpoline no Windows 10
Como denunciar Bug, Issue or Vulnerability para Microsoft
DLL Hijacking Vulnerability Attacks, Prevention & Detection
ataque CSS Exfil Protection extensão do navegador ofertas CSS Exfil vulnerability
Bitdefender Home Scanner: Analise o seu Home Network para vulnerabilidades
BitLocker Setup Falha ao exportar a loja BCD (Boot Configuration Data)
Fix NTLDR está faltando, Press Ctrl-Alt-Del para reiniciar erro no Windows 10
O Windows 10 não inicializa após a restauração System
Como mudar Boot order em Windows 10
Please formato do USB drive como único FAT partition: Boot Camp Assistant
Desinstalar o Quality or Feature Update quando o Windows 10 não inicializa
Fix Motherboard error code 99 em computadores Windows
Como alterar o sistema operacional padrão; Change Boot Padrões
Como executar Clean Boot em Windows 10
O aplicativo falhou em inicializar corretamente (0xc0000135)
Proteja o Master Boot Record do seu computador com MBR Filter
Microsoft Surface não liga, inicie ou acorde de Sleep
Fix BOOTMGR é comprimido - Windows 10 startup error
Ativar proteção Intel Processor Machine Check Error vulnerability
O que é Fast Startup e como ativar ou desativá-lo em Windows 10