Was ist ein Cold-Boot-Angriff?
Kaltstartangriff ist eine weitere Methode, um Daten zu stehlen. Das einzige Besondere ist, dass sie direkten Zugriff auf Ihre Computerhardware oder den gesamten Computer haben. In diesem Artikel wird beschrieben, was ein Kaltstartangriff ist und wie Sie sich vor solchen Techniken schützen können.
Was ist ein Kaltstartangriff?
In einem Kaltstartangriff oder ein Plattform-Reset-Angriff, Ein Angreifer, der physischen Zugriff auf Ihren Computer hat, führt einen Neustart durch, um den Computer neu zu starten, um die Verschlüsselungsschlüssel vom Windows-Betriebssystem abzurufen
Sie lehrten uns in Schulen, dass RAM (Random Access Memory) flüchtig ist und keine Daten enthalten kann, wenn der Computer ausgeschaltet ist. Was sie uns hätten sagen sollen, hätte sein sollen… kann die Daten nicht lange halten, wenn der Computer ausgeschaltet ist. Das bedeutet, dass der RAM-Speicher noch Daten von wenigen Sekunden bis zu wenigen Minuten speichert, bevor er wegen mangelnder Stromversorgung ausfällt. Für einen sehr kleinen Zeitraum kann jeder mit den richtigen Tools den RAM lesen und seinen Inhalt in einen sicheren, dauerhaften Speicher kopieren, indem er ein anderes, leichtes Betriebssystem auf einem USB-Stick oder einer SD-Karte verwendet. Ein solcher Angriff wird als Kaltstart-Angriff bezeichnet.
Stellen Sie sich einen Computer vor, der einige Minuten unbeaufsichtigt in einer Organisation liegt. Jeder Hacker muss nur seine Werkzeuge einsetzen und den Computer ausschalten. Während sich der RAM abkühlt (Daten werden langsam ausgeblendet), steckt der Hacker einen bootfähigen USB-Stick ein und bootet über diesen. Er kann den Inhalt auf einen USB-Stick kopieren.
Da die Art des Angriffs den Computer ausschaltet und ihn anschließend mit dem Netzschalter neu startet, wird dies als Kaltstart bezeichnet. Möglicherweise haben Sie in Ihren frühen Computerjahren Kalt- und Warmstart gelernt. Beim Kaltstart starten Sie einen Computer mit dem Netzschalter. Bei einem Warmstart können Sie die Option zum Neustarten eines Computers mithilfe der Neustartoption im Herunterfahren-Menü verwenden.
Einfrieren des RAM
Dies ist ein weiterer Trick an den Ärmeln von Hackern. Sie können einfach etwas Substanz (Beispiel: Flüssigstickstoff) auf die RAM-Module sprühen, sodass sie sofort einfrieren. Je niedriger die Temperatur, desto länger kann der RAM Informationen enthalten. Mit diesem Trick können sie (Hacker) einen Kaltstartangriff erfolgreich abschließen und die maximalen Daten kopieren. Um den Vorgang zu beschleunigen, verwenden sie Autorun-Dateien im leichtgewichtigen Betriebssystem von USB-Sticks oder SD-Karten, die kurz nach dem Herunterfahren des gehackten Computers gestartet werden.
Schritte bei einem Kaltstartangriff
Nicht unbedingt alle verwenden Angriffsstile, die den unten angegebenen ähneln. Die meisten der üblichen Schritte sind jedoch unten aufgeführt.
- Ändern Sie die BIOS-Informationen, um zuerst den Start von USB zu ermöglichen
- Stecken Sie einen startfähigen USB in den betreffenden Computer
- Schalten Sie den Computer gewaltsam aus, damit der Prozessor nicht die Zeit hat, Verschlüsselungen oder andere wichtige Daten aufzuheben. wissen, dass ein ordnungsgemäßes Herunterfahren zu hilfreich sein kann, jedoch nicht so erfolgreich ist wie ein erzwungenes Herunterfahren durch Drücken der Ein / Aus-Taste oder anderer Methoden.
- Verwenden Sie den Netzschalter so bald wie möglich, um den gehackten Computer kalt zu starten
- Da die BIOS-Einstellungen geändert wurden, wird das Betriebssystem auf einem USB-Stick geladen
- Selbst während dieses Betriebssystem geladen wird, werden die Daten im RAM automatisch abgerufen.
- Schalten Sie den Computer nach der Überprüfung des Zielspeichers (wo die gestohlenen Daten gespeichert sind) erneut aus, entfernen Sie den USB OS Stick und gehen Sie weg
Welche Informationen sind bei Cold-Boot-Angriffen gefährdet?
Die häufigsten Informationen / gefährdeten Daten sind Festplattenverschlüsselungsschlüssel und Kennwörter. Normalerweise besteht das Ziel eines Kaltstart-Angriffs darin, Festplattenverschlüsselungsschlüssel illegal und ohne Autorisierung abzurufen.
Die letzten Dinge, die bei einem ordnungsgemäßen Herunterfahren passieren können, sind das Aufheben der Bereitstellung der Festplatten und die Verschlüsselung mit den Verschlüsselungsschlüsseln. Wenn Sie einen Computer abrupt ausschalten, sind die Daten möglicherweise noch verfügbar.
Sichern Sie sich vor Cold Boot Attack
Auf persönlicher Ebene können Sie nur sicherstellen, dass Sie sich mindestens fünf Minuten nach dem Herunterfahren in der Nähe Ihres Computers aufhalten. Außerdem können Sie das Herunterfahren-Menü ordnungsgemäß herunterfahren, anstatt das Netzkabel zu ziehen oder den Computer mit dem Netzschalter auszuschalten.
Sie können nicht viel tun, da es sich nicht weitgehend um ein Softwareproblem handelt. Es ist mehr auf die Hardware bezogen. Daher sollten die Gerätehersteller die Initiative ergreifen, um so schnell wie möglich alle Daten aus dem RAM zu entfernen, nachdem ein Computer ausgeschaltet wurde, um Sie vor einem Kaltstart zu schützen.
Einige Computer überschreiben jetzt den RAM, bevor sie vollständig heruntergefahren werden. Dennoch besteht immer die Möglichkeit eines erzwungenen Herunterfahrens.
Die von BitLocker verwendete Technik besteht darin, eine PIN für den Zugriff auf den RAM zu verwenden. Selbst wenn der Computer in den Ruhezustand versetzt wurde (ein Zustand des Ausschaltens des Computers), muss der Benutzer, wenn er den Computer aufweckt und versucht, auf etwas zuzugreifen, zuerst eine PIN eingeben, um auf den RAM zuzugreifen. Diese Methode ist auch nicht narrensicher, da Hacker die PIN mithilfe einer der Methoden des Phishing oder Social Engineering erhalten können.
