Homepage » Sicurezza » Che cosa è una spiegazione di attacco all'avviamento a freddo e rimanere al sicuro

    Che cosa è una spiegazione di attacco all'avviamento a freddo e rimanere al sicuro

    Cold Boot Attack è ancora un altro metodo utilizzato per rubare i dati. L'unica cosa speciale è che hanno accesso diretto all'hardware del tuo computer o all'intero computer. Questo articolo parla di cosa è Cold Boot Attack e di come stare al sicuro da tali tecniche.

    Che cos'è Cold Boot Attack

    In un Cold Boot Attack o a Piattaforma Reset Attack, un utente malintenzionato con accesso fisico al computer esegue un riavvio a freddo per riavviare la macchina per recuperare le chiavi di crittografia dal sistema operativo Windows

    Ci hanno insegnato nelle scuole che RAM (Random Access Memory) è volatile e non può contenere dati se il computer è spento. Quello che avrebbero dovuto dirci avrebbe dovuto essere ... non può contenere dati a lungo se il computer è spento. Ciò significa che la RAM conserva ancora i dati da pochi secondi a pochi minuti prima che scompaiano a causa della mancanza di elettricità. Per un periodo estremamente ridotto, chiunque abbia gli strumenti adeguati può leggere la RAM e copiarne il contenuto in una memoria permanente e sicura utilizzando un sistema operativo leggero diverso su una chiavetta USB o una scheda SD. Tale attacco è chiamato attacco a freddo.

    Immagina un computer che giace incustodito in qualche organizzazione per alcuni minuti. Qualsiasi hacker deve semplicemente mettere i suoi strumenti sul posto e spegnere il computer. Mentre la RAM si raffredda (i dati si attenuano lentamente), l'hacker inserisce una chiavetta USB avviabile e avvia la procedura. Lui o lei può copiare il contenuto in qualcosa come la stessa chiavetta USB.

    Poiché la natura dell'attacco è spegnere il computer e quindi utilizzare l'interruttore di alimentazione per riavviarlo, si chiama avvio a freddo. Potresti aver imparato a proposito di avvio a freddo e avvio a caldo nei tuoi primi anni di elaborazione. Avvio a freddo è dove si avvia un computer utilizzando l'interruttore di alimentazione. Un avvio a caldo è dove si usa l'opzione di riavviare un computer usando l'opzione di riavvio nel menu di spegnimento.

    Congelare la RAM

    Questo è ancora un altro trucco sulle maniche degli hacker. Possono semplicemente spruzzare alcune sostanze (esempio: azoto liquido) su moduli RAM in modo che si congelino immediatamente. Più bassa è la temperatura, più RAM può contenere informazioni. Usando questo trucco, loro (hacker) possono completare con successo un attacco Cold Boot e copiare i dati massimi. Per velocizzare il processo, utilizzano i file di esecuzione automatica sul sistema operativo leggero su chiavette USB o schede SD che vengono avviate subito dopo aver arrestato il computer sottoposto a hacking.

    Passi in un attacco di avvio a freddo

    Non necessariamente tutti usano stili di attacco simili a quelli indicati di seguito. Tuttavia, la maggior parte dei passaggi comuni sono elencati di seguito.

    1. Modificare le informazioni del BIOS per consentire l'avvio da USB prima
    2. Inserire una USB avviabile nel computer in questione
    3. Spegnere il computer forzatamente in modo che il processore non abbia il tempo di smontare le chiavi di crittografia o altri dati importanti; sapere che un arresto corretto può essere di aiuto ma potrebbe non avere lo stesso successo di uno spegnimento forzato premendo il tasto di accensione o altri metodi.
    4. Appena possibile, usando l'interruttore di accensione per avviare a freddo il computer che viene hackerato
    5. Poiché le impostazioni del BIOS sono state modificate, viene caricato il sistema operativo su una penna USB
    6. Anche mentre viene caricato questo sistema operativo, eseguono automaticamente i processi per estrarre i dati memorizzati nella RAM.
    7. Spegnere nuovamente il computer dopo aver controllato la memoria di destinazione (dove sono stati memorizzati i dati rubati), rimuovere USB OS Stick e allontanarsi

    Quali informazioni sono a rischio negli attacchi Cold Boot

    Le informazioni più comuni / i dati a rischio sono le chiavi e le password di crittografia del disco. Di solito, l'obiettivo di un attacco di avvio a freddo è quello di recuperare le chiavi di crittografia del disco illegalmente, senza autorizzazione.

    Le ultime cose che accadono quando in uno spegnimento corretto sono smontare i dischi e utilizzare le chiavi di crittografia per crittografarli, quindi è possibile che, se un computer viene spento bruscamente, i dati potrebbero essere ancora disponibili per loro.

    Proteggersi da Cold Boot Attack

    A livello personale, puoi solo assicurarti di stare vicino al tuo computer fino a quando non si spegne almeno 5 minuti. Inoltre una precauzione è di spegnere correttamente utilizzando il menu di spegnimento, invece di tirare il cavo elettrico o utilizzare il pulsante di accensione per spegnere il computer.

    Non puoi fare molto perché non è un problema di software in gran parte. È legato più all'hardware. Quindi i produttori di apparecchiature dovrebbero prendere l'iniziativa di rimuovere tutti i dati dalla RAM il prima possibile dopo che un computer è stato spento per evitare di proteggerti dall'attacco di avvio a freddo.

    Alcuni computer sovrascrivono la RAM prima di spegnersi completamente. Tuttavia, la possibilità di un arresto forzato è sempre lì.

    La tecnica utilizzata da BitLocker consiste nell'utilizzare un PIN per accedere alla RAM. Anche se il computer è stato ibernato (uno stato di spegnimento del computer), quando l'utente si sveglia e tenta di accedere a qualsiasi cosa, prima deve inserire un PIN per accedere alla RAM. Questo metodo non è nemmeno infallibile poiché gli hacker possono ottenere il PIN utilizzando uno dei metodi di Phishing o Social Engineering.

    Sommario

    Quanto sopra spiega cos'è un attacco di avvio a freddo e come funziona. Ci sono alcune restrizioni a causa delle quali non è possibile offrire il 100% di sicurezza contro un attacco di avvio a freddo. Ma per quanto ne so, le società di sicurezza stanno lavorando per trovare una soluzione migliore rispetto alla semplice riscrittura della RAM o all'utilizzo di un PIN per proteggere il contenuto della RAM.