Что такое атака с холодной загрузкой и как обезопасить себя?

Атака с холодной загрузкой(Cold Boot Attack) — еще один метод, используемый для кражи данных. Единственная особенность заключается в том, что они имеют прямой доступ к оборудованию вашего компьютера или ко всему компьютеру. В этой статье рассказывается о том, что такое атака с холодной загрузкой(Boot Attack) и как защититься от таких методов.

холодная перезагрузка

Что такое атака с холодной загрузкой

При атаке с холодной загрузкой(Cold Boot Attack) или атаке со сбросом платформы(Platform Reset Attack,) злоумышленник, имеющий физический доступ к вашему компьютеру, выполняет холодную перезагрузку, чтобы перезапустить машину, чтобы получить ключи шифрования из операционной системы Windows .

В школах нас учили, что оперативная память(RAM) ( RAM(Random Access Memory) ) энергозависима и не может хранить данные, если компьютер выключен. То, что они должны были сказать нам, должно было быть… не может долго хранить данные, если компьютер выключен(cannot hold data for long if the computer is switched off) . Это означает, что ОЗУ(RAM) все еще хранит данные от нескольких секунд до нескольких минут, прежде чем они исчезнут из-за отсутствия электропитания. В течение очень короткого периода любой, у кого есть соответствующие инструменты, может прочитать ОЗУ(RAM) и скопировать его содержимое в безопасное постоянное хранилище, используя другую облегченную операционную систему на USB - накопителе или SD-карте(SD Card) . Такая атака называется атакой с холодной загрузкой.

Представьте себе компьютер, лежащий без присмотра в какой-то организации несколько минут. Любой хакер просто должен установить свои инструменты на место и выключить компьютер. Когда оперативная память(RAM) остывает (данные медленно исчезают), хакер подключает загрузочную флешку(USB) и загружается с нее. Он или она может скопировать содержимое на что-то вроде того же USB - накопителя.

Поскольку природа атаки заключается в выключении компьютера и последующем его перезапуске с помощью выключателя питания, такая атака называется холодной загрузкой. Возможно, вы узнали о холодной и теплой перезагрузке в первые годы работы с компьютером. Холодная загрузка — это запуск компьютера с помощью выключателя питания. Теплая загрузка — это когда вы используете опцию перезагрузки компьютера, используя опцию перезагрузки в меню выключения.

Замораживание оперативной памяти

Это еще одна уловка в рукаве хакеров. Они могут просто распылить какое-то вещество (например , жидкий азот(Liquid Nitrogen) ) на модули оперативной памяти(RAM) , чтобы они немедленно замерзли. Чем ниже температура, тем дольше оперативная память(RAM) может хранить информацию. Используя этот трюк, они (хакеры) могут успешно выполнить атаку с холодной загрузкой(Cold Boot Attack) и скопировать максимум данных. Чтобы ускорить процесс, они используют файлы автозапуска в облегченной операционной системе(System) на USB(USB Sticks) -накопителях или SD-картах, которые загружаются вскоре после выключения взломанного компьютера.

Шаги в атаке с холодной загрузкой

Не обязательно все используют стили атаки, подобные приведенному ниже. Тем не менее, большинство общих шагов перечислены ниже.

  1. Измените информацию BIOS , чтобы сначала разрешить загрузку с USB
  2. Вставьте(Insert) загрузочный USB в рассматриваемый компьютер
  3. Принудительно выключите компьютер, чтобы процессор не успел размонтировать какие-либо ключи шифрования или другие важные данные; знайте, что правильное отключение также может помочь, но может быть не таким успешным, как принудительное отключение нажатием клавиши питания или другими способами.
  4. Как можно скорее, используя выключатель питания для холодной загрузки взломанного компьютера.
  5. Так как настройки биоса(BIOS) были изменены, ОС загружается с флешки(USB)
  6. Даже когда эта ОС загружается, они автоматически запускают процессы для извлечения данных, хранящихся в ОЗУ(RAM) .
  7. Снова выключите компьютер после проверки целевого хранилища (где хранятся украденные данные), извлеките USB-накопитель с операционной(USB OS Stick) системой и уходите .

Какая информация находится под угрозой при атаках с холодной загрузкой(Cold Boot Attacks)

Наиболее распространенной информацией/данными, подверженными риску, являются ключи шифрования диска и пароли. Обычно целью атаки с холодной загрузкой является незаконное получение ключей шифрования диска без авторизации.

Последнее, что должно произойти при правильном завершении работы, — это размонтировать диски и использовать ключи шифрования для их шифрования, поэтому возможно, что если компьютер внезапно выключится, данные все еще могут быть доступны для них.

Защитите себя от атак с холодной загрузкой(Cold Boot Attack)

На личном уровне вы можете только убедиться, что вы остаетесь рядом с компьютером, по крайней мере, в течение 5 минут после его выключения. Плюс одна мера предосторожности — правильно завершить работу, используя меню выключения, вместо того, чтобы тянуть за электрический шнур или использовать кнопку питания для выключения компьютера.

Вы ничего не можете сделать, потому что это не проблема программного обеспечения. Это больше связано с железом. Таким образом, производители оборудования должны взять на себя инициативу по удалению всех данных из ОЗУ(RAM) как можно скорее после выключения компьютера, чтобы избежать и защитить вас от атак с холодной загрузкой.

Некоторые компьютеры теперь перезаписывают оперативную память(RAM) перед полным выключением. Тем не менее, возможность принудительного отключения есть всегда.

Техника, используемая BitLocker , заключается в использовании PIN -кода для доступа к ОЗУ(RAM) . Даже если компьютер находится в спящем режиме (состояние выключения компьютера), когда пользователь пробуждает его и пытается получить доступ к чему-либо, сначала он или она должны ввести PIN -код для доступа к ОЗУ(RAM) . Этот метод также не является надежным, поскольку хакеры могут получить PIN -код, используя один из методов фишинга(Phishing) или социальной инженерии(Social Engineering) .

Резюме

Вышеизложенное объясняет, что такое атака с холодной загрузкой и как она работает. Существуют некоторые ограничения, из-за которых не может быть обеспечена 100%-ная защита от атак с холодной загрузкой. Но, насколько мне известно, компании, занимающиеся безопасностью, работают над поиском лучшего решения, чем просто перезапись ОЗУ(RAM) или использование PIN -кода для защиты содержимого ОЗУ(RAM) .

Теперь прочитайте(Now read) : Что такое серфинг-атака(What is a Surfing Attack) ?



About the author

Я Windows MVP и работаю с Windows с 2007 года. Мой опыт включает разработку программного обеспечения, оборудования и звука, а также приложений для Windows. Я всегда ищу лучшие способы улучшить взаимодействие с пользователем в своей работе, поэтому, если вам нужна помощь в проектировании или разработке программного приложения, я определенно могу предложить свои услуги.



Related posts