Cold Boot Attack ist eine weitere Methode, um Daten zu stehlen. Das Besondere ist, dass sie direkten Zugriff auf Ihre Computerhardware oder den gesamten Computer haben. Dieser Artikel beschreibt, was Cold Boot Attack ist und wie man sich vor solchen Techniken schützt.

Was ist ein Kaltstartangriff

Bei einem Kaltstart- Angriff^{(Cold Boot Attack)} oder einem Plattform-Reset-Angriff führt^{(Platform Reset Attack,)} ein Angreifer, der physischen Zugriff auf Ihren Computer hat, einen Kaltstart durch, um den Computer neu zu starten und Verschlüsselungsschlüssel vom Windows -Betriebssystem abzurufen

Sie haben uns in den Schulen beigebracht, dass RAM ( Random Access Memory ) flüchtig ist und keine Daten speichern kann, wenn der Computer ausgeschaltet ist. Was sie uns hätten sagen sollen, hätte lauten sollen … kann Daten nicht lange speichern, wenn der Computer ausgeschaltet ist^{(cannot hold data for long if the computer is switched off)} . Das heißt, RAM hält noch Daten von wenigen Sekunden bis zu wenigen Minuten, bevor es aufgrund fehlender Stromversorgung ausgeblendet wird. Für einen extrem kurzen Zeitraum kann jeder mit geeigneten Tools den RAM lesen und seinen Inhalt mit einem anderen leichtgewichtigen Betriebssystem auf einem USB - Stick oder einer SD-Karte^{(SD Card)} in einen sicheren, dauerhaften Speicher kopieren . Ein solcher Angriff wird als Kaltstartangriff bezeichnet.

Stellen Sie sich einen Computer vor, der einige Minuten unbeaufsichtigt in einer Organisation liegt. Jeder Hacker muss nur seine Tools einrichten und den Computer ausschalten. Während der Arbeitsspeicher^(RAM) abkühlt (Daten werden langsam ausgeblendet), steckt der Hacker einen bootfähigen USB - Stick ein und bootet darüber. Er oder sie kann den Inhalt auf so etwas wie denselben USB -Stick kopieren.

Da die Art des Angriffs darin besteht, den Computer auszuschalten und ihn dann über den Netzschalter neu zu starten, wird dies als Kaltstart bezeichnet. Möglicherweise haben Sie in Ihren frühen Computerjahren etwas über Kaltstart und Warmstart gelernt. Beim Kaltstart starten Sie einen Computer über den Netzschalter. Bei einem Warmstart verwenden Sie die Option, einen Computer mit der Neustartoption im Menü zum Herunterfahren neu zu starten.

Einfrieren des Arbeitsspeichers

Dies ist ein weiterer Trick im Ärmel von Hackern. Sie können einfach eine Substanz (Beispiel: flüssiger Stickstoff^{(Liquid Nitrogen)} ) auf RAM - Module sprühen, damit sie sofort einfrieren. Je niedriger die Temperatur, desto länger kann RAM Informationen speichern. Mit diesem Trick können sie (Hacker) einen Cold-Boot-Angriff^{(Cold Boot Attack)} erfolgreich abschließen und maximale Daten kopieren. Um den Vorgang zu beschleunigen, verwenden sie Autorun-Dateien auf dem leichtgewichtigen Betriebssystem auf^(System) USB -Sticks^{(USB Sticks)} oder SD-Karten, die kurz nach dem Herunterfahren des zu hackenden Computers gestartet werden.

Schritte bei einem Kaltstartangriff

Nicht unbedingt jeder verwendet Angriffsstile, die dem unten angegebenen ähneln. Die meisten gängigen Schritte sind jedoch unten aufgeführt.

1. Ändern Sie die BIOS -Informationen, um zuerst das Booten von USB zuzulassen^(USB)
2. Stecken Sie^(Insert) einen bootfähigen USB -Stick in den betreffenden Computer
3. Schalten Sie den Computer zwangsweise aus, damit der Prozessor keine Zeit hat, Verschlüsselungscodes oder andere wichtige Daten abzurufen; Beachten Sie, dass ein ordnungsgemäßes Herunterfahren ebenfalls hilfreich sein kann, aber möglicherweise nicht so erfolgreich ist wie ein erzwungenes Herunterfahren durch Drücken der Ein- / Aus-Taste oder anderer Methoden.
4. Verwenden Sie so schnell wie möglich den Netzschalter, um den gehackten Computer kalt zu starten
5. Da die BIOS- Einstellungen geändert wurden, wird das Betriebssystem auf einen USB -Stick geladen
6. Selbst während dieses Betriebssystem geladen wird, führen sie automatisch Prozesse aus, um im RAM gespeicherte Daten zu extrahieren .
7. Schalten Sie den Computer wieder aus, nachdem Sie den Zielspeicher überprüft haben (wo die gestohlenen Daten gespeichert sind), entfernen Sie den USB OS Stick und gehen Sie weg

Welche Informationen sind bei Cold-Boot-Angriffen gefährdet?^{(Cold Boot Attacks)}

Die am häufigsten gefährdeten Informationen/Daten sind Festplattenverschlüsselungsschlüssel und Passwörter. Normalerweise besteht das Ziel eines Kaltstartangriffs darin, Festplattenverschlüsselungsschlüssel illegal und ohne Autorisierung abzurufen.

Die letzten Dinge, die bei einem ordnungsgemäßen Herunterfahren passieren, sind das Aushängen der Festplatten und die Verwendung der Verschlüsselungsschlüssel, um sie zu verschlüsseln, sodass es möglich ist, dass die Daten noch für sie verfügbar sind, wenn ein Computer abrupt ausgeschaltet wird.

Schützen Sie sich vor Kaltstartangriffen^{(Cold Boot Attack)}

Auf persönlicher Ebene können Sie nur sicherstellen, dass Sie mindestens 5 Minuten nach dem Herunterfahren in der Nähe Ihres Computers bleiben. Eine weitere Vorsichtsmaßnahme besteht darin, den Computer mithilfe des Menüs zum Herunterfahren ordnungsgemäß herunterzufahren, anstatt das Netzkabel zu ziehen oder den Netzschalter zu verwenden, um den Computer auszuschalten.

Sie können nicht viel tun, da es sich größtenteils nicht um ein Softwareproblem handelt. Es liegt eher an der Hardware. Daher sollten die Gerätehersteller die Initiative ergreifen, alle Daten so schnell wie möglich aus dem RAM zu entfernen , nachdem ein Computer ausgeschaltet wurde, um einen Kaltstartangriff zu vermeiden und Sie vor einem Kaltstart zu schützen.

Einige Computer überschreiben jetzt RAM , bevor sie vollständig heruntergefahren werden. Dennoch besteht immer die Möglichkeit einer erzwungenen Abschaltung.

Die von BitLocker verwendete Technik besteht darin, eine PIN für den Zugriff auf den Arbeitsspeicher^(RAM) zu verwenden . Selbst wenn der Computer in den Ruhezustand versetzt wurde (ein Zustand, in dem der Computer ausgeschaltet ist), muss der Benutzer, wenn er ihn aufweckt und versucht, auf etwas zuzugreifen, zuerst eine PIN eingeben, um auf ^(PIN)RAM zuzugreifen . Diese Methode ist auch nicht narrensicher, da Hacker die PIN mit einer der Methoden von Phishing oder Social Engineering erhalten können .

Zusammenfassung

Oben wird erklärt, was ein Kaltstartangriff ist und wie er funktioniert. Es gibt einige Einschränkungen, aufgrund derer keine 100%ige Sicherheit gegen einen Kaltstartangriff geboten werden kann. Aber soweit ich weiß, arbeiten Sicherheitsunternehmen daran, eine bessere Lösung zu finden, als RAM einfach umzuschreiben oder eine PIN zum Schutz des RAM -Inhalts zu verwenden .

Jetzt lesen^{(Now read)} : Was ist ein Surfing Attack^{(What is a Surfing Attack)} ?

What is a Cold Boot Attack and how can you stay safe?

Cold Boot Attack is yet another method used to steal data. The only thing special is that they have direct access to your computer hardware or the whole computer. This article talks about what is Cold Boot Attack and how to stay safe from such techniques.

What is Cold Boot Attack

In a Cold Boot Attack or a Platform Reset Attack, an attacker who has physical access to your computer does a cold reboot to restart the machine in order to retrieve encryption keys from the Windows operating system

They taught us in schools that RAM (Random Access Memory) is volatile and cannot hold data if the computer is switched off. What they should have told us should have been …cannot hold data for long if the computer is switched off. That means, RAM still holds data from few seconds to few minutes before it fades out due to lack of electricity supply. For an ultra-small period, anyone with proper tools can read the RAM and copy its contents to a safe, permanent storage using a different lightweight operating system on a USB stick or SD Card. Such an attack is called cold boot attack.

Imagine a computer lying unattended at some organization for a few minutes. Any hacker just has to set his tools in place and turn off the computer. As the RAM cools down (data fades out slowly), the hacker plugs in a bootable USB stick and boots via that. He or she can copy the contents into something like the same USB stick.

Since the nature of the attack is turning off the computer and then using the power switch to restart it, it is called cold boot. You might have learned about cold boot and warm boot in your early computing years. Cold boot is where you start a computer using the power switch. A Warm Boot is where you use the option of restarting a computer using the restart option in the shutdown menu.

Freezing the RAM

This is yet another trick on the sleeves of hackers. They can simply spray some substance (example: Liquid Nitrogen) on to RAM modules so that they freeze immediately. The lower the temperature, the longer RAM can hold information. Using this trick, they (hackers) can successfully complete a Cold Boot Attack and copy maximum data. To quicken the process, they use autorun files on the lightweight Operating System on USB Sticks or SD Cards that are booted soon after shutting down the computer being hacked.

Steps in a Cold Boot Attack

Not necessarily everyone uses attack styles similar to the one given below. However, most of the common steps are listed below.

1. Change the BIOS information to allow boot from USB first
2. Insert a bootable USB into the computer in question
3. Turn off the computer forcibly so that the processor doesn’t get time to dismount any encryption keys or other important data; know that a proper shutdown may too help but may not be as successful as a forced shut down by pressing the power key or other methods.
4. As soon as possible, using the power switch to cold boot the computer being hacked
5. Since the BIOS settings were changed, the OS on a USB stick is loaded
6. Even as this OS is being loaded, they autorun processes to extract data stored in RAM.
7. Turn off the computer again after checking the destination storage (where the stolen data is stored), remove the USB OS Stick, and walk away

What information is at risk in Cold Boot Attacks

Most common information/data at risk are disk encryption keys and passwords. Usually, the aim of a cold boot attack is to retrieve disk encryption keys illegally, without authorization.

The last things to happen when in a proper shutdown are dismounting the disks and using the encryption keys to encrypt them so it is possible that if a computer is turned off abruptly, the data might still be available for them.

Securing yourself from Cold Boot Attack

On a personal level, you can only make sure that you stay near your computer until at least 5 minutes after it is shut down. Plus one precaution is to shut down properly using the shutdown menu, instead of pulling the electric cord or using the power button to turn off the computer.

You can’t do much because it is not a software issue largely. It is related more to the hardware. So the equipment manufacturers should take the initiative to remove all data from RAM as soon as possible after a computer is turned off to avoid and protect you from cold boot attack.

Some computers now overwrite RAM before completely shut down. Still, the possibility of a forced shutdown is always there.

The technique used by BitLocker is to use a PIN to access RAM. Even if the computer has been hibernated (a state of turning off the computer), when the user wakes it up and tries to access anything, first he or she has to enter a PIN to access RAM. This method is also not fool-proof as hackers can get the PIN using one of the methods of Phishing or Social Engineering.

Summary

The above explains what a cold boot attack is and how it works. There are some restrictions due to which 100% security cannot be offered against a cold boot attack. But as far as I know, security companies are working to find a better fix than simply rewriting RAM or using a PIN to protect the contents of RAM.

Now read: What is a Surfing Attack?

Related posts

• So aktivieren Sie Retpoline unter Windows 10 manuell

• So melden Sie Fehler, Probleme oder Schwachstellen an Microsoft

• DLL-Hijacking-Schwachstellenangriffe, Prävention und Erkennung

• Die Browsererweiterung CSS Exfil Protection bietet einen Angriff auf die Schwachstelle CSS Exfil

• Bitdefender Home Scanner: Scannen Sie Ihr Heimnetzwerk auf Schwachstellen

• Fehler beim Versuch, Startdateien unter Windows 11/10 zu kopieren

• Fehler 1962 behoben, kein Betriebssystem auf Windows 11/10-Computern gefunden

• Windows bleibt auf dem Willkommensbildschirm hängen

• So starten Sie zeitlich und führen eine Boot-Trace in Windows 10 durch

• Fix BOOTMGR ist komprimiert – Windows 10-Startfehler

• Die Betriebssystemversion ist mit der Starthilfe nicht kompatibel

• Fehler „Fehlendes Betriebssystem nicht gefunden“ in Windows 11/10

• So deaktivieren Sie Secure Boot in Windows 11/10

• Bootsektor und MBR mit HDHacker sichern und wiederherstellen

• Das BitLocker-Setup konnte den BCD-Speicher (Boot Configuration Data) nicht exportieren

• Windows-Computer bootet nach Stromausfall nicht

• Festplatte wird nicht im Startmenü angezeigt

• Microsoft Surface lässt sich nicht einschalten, starten oder aus dem Energiesparmodus aufwachen

• Ändern Sie den Text des Startmenüs, wenn Sie dieselbe Windows-Version dual booten

• So booten oder reparieren Sie einen Windows-Computer mit dem Installationsmedium