Cold Boot Attack là một phương pháp khác được sử dụng để đánh cắp dữ liệu. Điều đặc biệt duy nhất là chúng có quyền truy cập trực tiếp vào phần cứng máy tính của bạn hoặc toàn bộ máy tính. Bài viết này nói về Cold Boot Attack là gì và cách giữ an toàn trước những kỹ thuật như vậy.

Cold Boot Attack là gì

Trong Cuộc tấn công khởi động lạnh^{(Cold Boot Attack)} hoặc Cuộc tấn công thiết lập lại nền tảng,^{(Platform Reset Attack,)} kẻ tấn công có quyền truy cập vật lý vào máy tính của bạn thực hiện khởi động lại nguội để khởi động lại máy nhằm truy xuất khóa mã hóa từ hệ điều hành Windows

Họ đã dạy chúng tôi ở trường học rằng RAM ( Bộ nhớ truy cập ngẫu nhiên^{(Random Access Memory)} ) rất dễ bay hơi và không thể giữ dữ liệu nếu máy tính bị tắt. Điều mà lẽ ra họ phải nói với chúng tôi là… không thể giữ dữ liệu lâu nếu máy tính bị tắt^{(cannot hold data for long if the computer is switched off)} . Điều đó có nghĩa là RAM vẫn giữ dữ liệu từ vài giây đến vài phút trước khi mất dần do thiếu nguồn cung cấp điện. Trong một khoảng thời gian siêu nhỏ, bất kỳ ai có công cụ thích hợp đều có thể đọc RAM và sao chép nội dung của nó vào bộ nhớ an toàn, vĩnh viễn bằng cách sử dụng hệ điều hành nhẹ khác trên thẻ USB^(USB) hoặc thẻ SD^{(SD Card)} . Một cuộc tấn công như vậy được gọi là cuộc tấn công khởi động lạnh.

Hãy tưởng tượng một máy tính nằm không được giám sát tại một tổ chức nào đó trong vài phút. Bất kỳ hacker nào cũng chỉ cần thiết lập các công cụ của mình tại chỗ và tắt máy tính. Khi RAM nguội đi (dữ liệu hết dần), hacker sẽ cắm một thanh USB có khả năng khởi động và khởi động qua đó. Người đó có thể sao chép nội dung vào một thứ gì đó giống như cùng một thẻ USB^(USB) .

Vì bản chất của cuộc tấn công là tắt máy tính và sau đó sử dụng công tắc nguồn để khởi động lại, nó được gọi là khởi động lạnh. Bạn có thể đã học về khởi động lạnh và khởi động ấm trong những năm đầu sử dụng máy tính. Khởi động nguội là nơi bạn khởi động máy tính bằng công tắc nguồn. Khởi động ấm là nơi bạn sử dụng tùy chọn khởi động lại máy tính bằng tùy chọn khởi động lại trong menu tắt máy.

Đóng băng RAM

Đây lại là một thủ thuật khác nằm trong tay các hacker. Họ có thể chỉ cần phun một số chất (ví dụ: Nitơ lỏng^{(Liquid Nitrogen)} ) vào các mô-đun RAM để chúng đóng băng ngay lập tức. Nhiệt độ càng thấp, RAM có thể lưu giữ thông tin lâu hơn. Sử dụng thủ thuật này, họ (tin tặc) có thể thực hiện thành công Cuộc tấn công khởi động lạnh^{(Cold Boot Attack)} và sao chép dữ liệu tối đa. Để nhanh chóng quá trình này, họ sử dụng các tệp tự động chạy trên Hệ^(System) điều hành nhẹ trên USB Sticks hoặc Thẻ SD được khởi động ngay sau khi tắt máy tính bị tấn công.

Các bước trong một cuộc tấn công khởi động lạnh

Không nhất thiết tất cả mọi người đều sử dụng các kiểu tấn công tương tự như kiểu được đưa ra bên dưới. Tuy nhiên, hầu hết các bước phổ biến được liệt kê dưới đây.

1. Thay đổi thông tin BIOS để cho phép khởi động từ USB trước tiên
2. Cắm một ^(Insert)USB có thể khởi động vào máy tính được đề cập
3. Tắt máy tính một cách cưỡng bức để bộ xử lý không có thời gian tháo gỡ bất kỳ khóa mã hóa hoặc dữ liệu quan trọng nào khác; biết rằng tắt máy đúng cách có thể hữu ích nhưng có thể không thành công như tắt máy cưỡng bức bằng cách nhấn phím nguồn hoặc các phương pháp khác.
4. Sử dụng công tắc nguồn để khởi động lạnh máy tính bị tấn công càng sớm càng tốt
5. Vì cài đặt BIOS đã được thay đổi, hệ điều hành trên thẻ USB^(USB) được tải
6. Ngay cả khi hệ điều hành này đang được tải, chúng sẽ tự động chạy các quá trình để trích xuất dữ liệu được lưu trữ trong RAM .
7. Tắt máy tính một lần nữa sau khi kiểm tra bộ nhớ đích (nơi lưu trữ dữ liệu bị đánh cắp), tháo USB OS Stick và bước đi

Thông tin nào có nguy cơ trong các cuộc tấn công khởi động lạnh^{(Cold Boot Attacks)}

Hầu hết thông tin / dữ liệu phổ biến có nguy cơ là khóa và mật khẩu mã hóa đĩa. Thông thường, mục đích của một cuộc tấn công khởi động nguội là lấy các khóa mã hóa ổ đĩa một cách bất hợp pháp mà không được phép.

Điều cuối cùng xảy ra khi tắt máy đúng cách là tháo đĩa và sử dụng các khóa mã hóa để mã hóa chúng, vì vậy có thể xảy ra trường hợp máy tính bị tắt đột ngột, dữ liệu vẫn có sẵn cho chúng.

Bảo vệ bạn khỏi Cuộc tấn công khởi động lạnh^{(Cold Boot Attack)}

Ở mức độ cá nhân, bạn chỉ có thể đảm bảo rằng bạn ở gần máy tính của mình ít nhất 5 phút sau khi tắt máy. Thêm một biện pháp phòng ngừa là tắt máy đúng cách bằng menu tắt máy, thay vì kéo dây điện hoặc sử dụng nút nguồn để tắt máy tính.

Bạn không thể làm được gì nhiều vì phần lớn nó không phải là vấn đề phần mềm. Nó liên quan nhiều hơn đến phần cứng. Vì vậy, các nhà sản xuất thiết bị nên chủ động xóa tất cả dữ liệu khỏi RAM càng sớm càng tốt sau khi máy tính tắt để tránh và bảo vệ bạn khỏi sự tấn công của cold boot.

Một số máy tính hiện ghi đè RAM trước khi tắt hoàn toàn. Tuy nhiên, khả năng buộc phải tắt máy vẫn luôn có.

Kỹ thuật được BitLocker sử dụng là sử dụng mã PIN^(PIN) để truy cập RAM . Ngay cả khi máy tính đã ở chế độ ngủ đông (trạng thái tắt máy), khi người dùng thức dậy và cố gắng truy cập bất cứ thứ gì, trước tiên họ phải nhập mã PIN^(PIN) để truy cập RAM . Phương pháp này cũng không phải là chống lừa vì tin tặc có thể lấy mã PIN^(PIN) bằng một trong các phương pháp Phishing hoặc Social Engineering .

Tóm lược

Phần trên giải thích một cuộc tấn công khởi động lạnh là gì và nó hoạt động như thế nào. Có một số hạn chế do đó không thể cung cấp bảo mật 100% để chống lại cuộc tấn công khởi động lạnh. Nhưng theo tôi được biết, các công ty bảo mật đang làm việc để tìm ra giải pháp khắc phục tốt hơn là chỉ ghi lại RAM hoặc sử dụng mã PIN^(PIN) để bảo vệ nội dung của RAM .

Bây giờ hãy đọc^{(Now read)} : Cuộc tấn công lướt sóng là^{(What is a Surfing Attack)} gì?

What is a Cold Boot Attack and how can you stay safe?

Cold Boot Attack is yet another method used to steal data. The only thing special is that they have direct access to your computer hardware or the whole computer. This article talks about what is Cold Boot Attack and how to stay safe from such techniques.

What is Cold Boot Attack

In a Cold Boot Attack or a Platform Reset Attack, an attacker who has physical access to your computer does a cold reboot to restart the machine in order to retrieve encryption keys from the Windows operating system

They taught us in schools that RAM (Random Access Memory) is volatile and cannot hold data if the computer is switched off. What they should have told us should have been …cannot hold data for long if the computer is switched off. That means, RAM still holds data from few seconds to few minutes before it fades out due to lack of electricity supply. For an ultra-small period, anyone with proper tools can read the RAM and copy its contents to a safe, permanent storage using a different lightweight operating system on a USB stick or SD Card. Such an attack is called cold boot attack.

Imagine a computer lying unattended at some organization for a few minutes. Any hacker just has to set his tools in place and turn off the computer. As the RAM cools down (data fades out slowly), the hacker plugs in a bootable USB stick and boots via that. He or she can copy the contents into something like the same USB stick.

Since the nature of the attack is turning off the computer and then using the power switch to restart it, it is called cold boot. You might have learned about cold boot and warm boot in your early computing years. Cold boot is where you start a computer using the power switch. A Warm Boot is where you use the option of restarting a computer using the restart option in the shutdown menu.

Freezing the RAM

This is yet another trick on the sleeves of hackers. They can simply spray some substance (example: Liquid Nitrogen) on to RAM modules so that they freeze immediately. The lower the temperature, the longer RAM can hold information. Using this trick, they (hackers) can successfully complete a Cold Boot Attack and copy maximum data. To quicken the process, they use autorun files on the lightweight Operating System on USB Sticks or SD Cards that are booted soon after shutting down the computer being hacked.

Steps in a Cold Boot Attack

Not necessarily everyone uses attack styles similar to the one given below. However, most of the common steps are listed below.

1. Change the BIOS information to allow boot from USB first
2. Insert a bootable USB into the computer in question
3. Turn off the computer forcibly so that the processor doesn’t get time to dismount any encryption keys or other important data; know that a proper shutdown may too help but may not be as successful as a forced shut down by pressing the power key or other methods.
4. As soon as possible, using the power switch to cold boot the computer being hacked
5. Since the BIOS settings were changed, the OS on a USB stick is loaded
6. Even as this OS is being loaded, they autorun processes to extract data stored in RAM.
7. Turn off the computer again after checking the destination storage (where the stolen data is stored), remove the USB OS Stick, and walk away

What information is at risk in Cold Boot Attacks

Most common information/data at risk are disk encryption keys and passwords. Usually, the aim of a cold boot attack is to retrieve disk encryption keys illegally, without authorization.

The last things to happen when in a proper shutdown are dismounting the disks and using the encryption keys to encrypt them so it is possible that if a computer is turned off abruptly, the data might still be available for them.

Securing yourself from Cold Boot Attack

On a personal level, you can only make sure that you stay near your computer until at least 5 minutes after it is shut down. Plus one precaution is to shut down properly using the shutdown menu, instead of pulling the electric cord or using the power button to turn off the computer.

You can’t do much because it is not a software issue largely. It is related more to the hardware. So the equipment manufacturers should take the initiative to remove all data from RAM as soon as possible after a computer is turned off to avoid and protect you from cold boot attack.

Some computers now overwrite RAM before completely shut down. Still, the possibility of a forced shutdown is always there.

The technique used by BitLocker is to use a PIN to access RAM. Even if the computer has been hibernated (a state of turning off the computer), when the user wakes it up and tries to access anything, first he or she has to enter a PIN to access RAM. This method is also not fool-proof as hackers can get the PIN using one of the methods of Phishing or Social Engineering.

Summary

The above explains what a cold boot attack is and how it works. There are some restrictions due to which 100% security cannot be offered against a cold boot attack. But as far as I know, security companies are working to find a better fix than simply rewriting RAM or using a PIN to protect the contents of RAM.

Now read: What is a Surfing Attack?

Related posts

• Làm thế nào để tự cho phép Retpoline trên Windows 10

• Làm thế nào để báo cáo Bug, Issue or Vulnerability để Microsoft

• DLL Hijacking Vulnerability Attacks, Prevention & Detection

• Mở rộng trình duyệt CSS Exfil Protection cung cấp cuộc tấn công CSS Exfil vulnerability

• Bitdefender Home Scanner: Quét Home Network của bạn cho các lỗ hổng

• Fast Startup là gì và cách bật hoặc tắt nó trong Windows 10

• Làm thế nào để sử dụng Boot or Repair Windows computer Installation Media

• operating system version không tương thích với Startup Repair

• Cài đặt thất bại trong SAFE_OS phase trong BOOT operation

• Boot Advanced Options trong MSCONFIG trong Windows 10 giải thích

• Bảo vệ Master Boot Record máy tính của bạn với MBR Filter

• Cách khởi động Windows vào UEFI or BIOS firmware

• Gỡ bỏ Quality or Feature Update khi khởi động Windows 10 sẽ không

• Cách thay đổi hệ điều hành mặc định; Change Boot Mặc định

• Cách sử dụng Avast Boot Scan để loại bỏ Malware khỏi Windows PC

• Thiếu hoạt động System KHÔNG Found error trong Windows 11/10

• Windows 10 sẽ không khởi động sau khi khôi phục System

• SecPod Saner Personal: Free Advanced Vulnerability Scanner

• Cách tạo Time Boot và thực hiện Boot Trace trong Windows 10

• Kích hoạt bảo vệ Intel Processor Machine Check Error vulnerability