Hidegcsizma támadás egy újabb módszer az adatok ellopására. Az egyetlen dolog különleges, hogy közvetlen hozzáférést biztosítanak a számítógép hardveréhez vagy az egész számítógéphez. Ez a cikk arról szól, hogy mi a Cold Boot Attack, és hogyan lehet biztonságban maradni az ilyen technikáktól.
Mi a Cold Boot Attack?
A Hidegcsizma támadás vagy a Platform Reset Attack, egy támadó, aki fizikailag hozzáfér a számítógéphez, hideg újraindítással újraindítja a gépet, hogy a titkosítási kulcsokat a Windows operációs rendszerből
Az iskolákban megtanították, hogy a RAM (Véletlen hozzáférésű memória) ingadozó, és nem tudja tartani az adatokat, ha a számítógép ki van kapcsolva. Azt kellett volna mondania nekünk, hogy …nem tudja tartani az adatokat hosszú ideig, ha a számítógép ki van kapcsolva. Ez azt jelenti, hogy a RAM még mindig néhány másodperctől néhány percig tárolja az adatokat, mielőtt a villamosenergia-ellátás hiánya miatt elhalványulna. Egy rendkívül kis idő alatt a megfelelő eszközökkel rendelkező személyek elolvashatják a RAM-ot, és másolhatják tartalmát egy biztonságos, tartós tárolóeszközhöz egy másik, könnyű operációs rendszerrel USB-kártyán vagy SD-kártyán keresztül. Az ilyen támadás hideg támadásnak nevezhető.
Képzeljen el egy számítógépet, amely néhány szervezetnél néhány percig felügyelet nélkül van. Bármely hackernek csak be kell állítania az eszközeit, és ki kell kapcsolnia a számítógépet. Ahogy a RAM lehűl (az adatok lassan elhalványulnak), a hacker egy bootolható USB-memóriakártyán keresztül csatlakozik. Ő tudja másolni a tartalmat, mint valami hasonló USB stick.
Mivel a támadás természete kikapcsolja a számítógépet, majd újraindítással a hálózati kapcsolót használja, hidegindításnak nevezik. Lehet, hogy megtudta a hideg csomagtartó és a meleg boot a korai számítástechnika években. A hidegindítás az, ahol a számítógépet a főkapcsoló segítségével indítja el. A melegindító az a lehetőség, hogy újraindítsa a számítógépet a shutdown menü újraindításával.
A RAM fagyasztása
Ez még egy trükk a hackerek ujjain. Egyszerűen permetezhetnek valamilyen anyagot (például: folyékony nitrogén) a RAM modulokra, hogy azonnal lefagyjanak. Minél alacsonyabb a hőmérséklet, annál hosszabb RAM tárolhat információkat. Ezt a trükköt használva a (hackerek) sikeresen befejezhetik a hidegindító támadást, és a maximális adatok másolhatók. A folyamat gyorsabbá tételéhez az automata fájlokat az USB Sticks vagy SD kártyák könnyű operációs rendszerén használják, amelyeket a hamisított számítógép leállítása után azonnal indítanak.
Lépések egy hideg csizma támadásban
Nem feltétlenül mindenki az alábbihoz hasonló támadási stílusokat használ. Azonban a legtöbb közös lépést az alábbiakban soroljuk fel.
- Módosítsa a BIOS információit, hogy először engedélyezze az USB-ről történő indítást
- Helyezzen be egy indítható USB-t a kérdéses számítógépbe
- Kapcsolja ki a számítógépet erőszakkal, hogy a processzornak ne legyen ideje lebontani semmilyen titkosítási kulcsot vagy egyéb fontos adatot; tudják, hogy a megfelelő leállítás is segíthet, de nem lehet olyan sikeres, mint egy kényszerített kikapcsolás a bekapcsológomb vagy más módszerek megnyomásával.
- A lehető legrövidebb időn belül a főkapcsolót hideg rendszerindítással feltörjék
- A BIOS beállításainak megváltoztatása után az USB-eszközön lévő operációs rendszer betöltésre került
- Még ha ez az operációs rendszer is betöltődik, akkor a RAM-ban tárolt adatok kivágására automatikusan kerülnek feldolgozásra.
- Miután ellenőrizte a rendeltetési hely tárolását (ahol az ellopott adatokat tárolta), kapcsolja ki újra a számítógépet, távolítsa el az USB OS Stick lemezt, és sétáljon el
Milyen információkat veszélyeztet a hidegindító támadások
A leggyakoribb információk / adatok veszélyesek a lemez titkosítási kulcsok és jelszavak. Általában a hidegindításos támadás célja illegálisan, engedély nélkül feltörni a lemez titkosítási kulcsokat.
Az utolsó dolog, amikor megfelelő leálláskor leállítják a lemezeket, és a titkosítási kulcsokat titkosítják, így lehetséges, hogy ha a számítógépet hirtelen kikapcsolják, az adatok továbbra is elérhetők lesznek.
Biztosítja magának a hideg csizma támadást
Személyes szinten csak akkor biztosíthatja, hogy a számítógép közelében maradjon legalább 5 perccel a leállítás után. Plusz egy elővigyázatosság, hogy a shutdown menüt megfelelően le kell állítani, ahelyett, hogy húzza az elektromos kábelt vagy a bekapcsológombot, kikapcsolja a számítógépet.
Nem tehetsz sokat, mert nagyrészt nem szoftverválság. Ez inkább a hardverhez kapcsolódik. Tehát a berendezésgyártóknak kezdeményezniük kell, hogy a számítógép kikapcsolása után a lehető leghamarabb távolítsanak el minden adatot a RAM-ból, hogy elkerüljék és megvédjék Önt a hidegindítás elleni támadástól.
Egyes számítógépek most már teljesen leállítják a RAM-ot. Mindazonáltal a kényszerleszállás lehetősége mindig ott van.
A BitLocker által használt módszer a PIN-kód használata a RAM eléréséhez. Ha a számítógép hibernált állapotban van (a számítógép kikapcsolása), amikor a felhasználó felébreszti és megpróbál hozzáférni bárhhoz, először meg kell adnia a PIN-kódot a RAM eléréséhez. Ez a módszer nem bolondbiztos, mivel a hackerek a PIN kódot az Adathalászat vagy a Szociális Technika egyik módszerével kaphatják meg.
összefoglalás
A fentiek azt mutatják be, hogy mi a hideg támadás, és hogyan működik. Vannak korlátozások, amelyek miatt 100% -os biztonság nem ajánlható hidegindítás elleni támadás ellen. De amennyire én tudom, a biztonsági cégek jobb megoldást keresnek, mint a RAM memóriájának egyszerű újraírása vagy PIN-kód használata a RAM tartalmának védelme érdekében.
Kapcsolódó hozzászólások:
- A legjobb 8 Compute Stick számítógép, amit megvásárolhat
- Windows 8 Shutdown vagy Restart - 10 különböző módon
- A PIN komplexitás csoportházirendjének engedélyezése és beállítása a Windows 10 rendszerben
- TrueCrypt alternatívák: AESCrypt, FreeOTFE és DiskCryptor
- Biztonságos tartózkodás az interneten a Java segítségével; vagy biztonságosabb nélkül!
