Che cos'è un Cold Boot Attack e come puoi stare al sicuro?

Cold Boot Attack è un altro metodo utilizzato per rubare i dati. L'unica cosa speciale è che hanno accesso diretto all'hardware del tuo computer o all'intero computer. Questo articolo parla di cos'è Cold Boot Attack e di come proteggersi da tali tecniche.

attacco a freddo

Cos'è Cold Boot Attack

In un attacco di avvio a freddo(Cold Boot Attack) o in un attacco di ripristino della piattaforma,(Platform Reset Attack,) un utente malintenzionato che ha accesso fisico al computer esegue un riavvio a freddo per riavviare la macchina al fine di recuperare le chiavi di crittografia dal sistema operativo Windows

Ci hanno insegnato nelle scuole che la RAM(RAM) ( Random Access Memory ) è volatile e non può contenere dati se il computer è spento. Quello che avrebbero dovuto dirci avrebbe dovuto essere... non possono trattenere i dati a lungo se il computer è spento(cannot hold data for long if the computer is switched off) . Ciò significa che la RAM(RAM) conserva ancora i dati da pochi secondi a pochi minuti prima che svaniscano a causa della mancanza di alimentazione elettrica. Per un periodo estremamente breve, chiunque disponga degli strumenti adeguati può leggere la RAM e copiarne il contenuto in una memoria sicura e permanente utilizzando un diverso sistema operativo leggero su una chiavetta(USB) USB o una scheda SD(SD Card) . Tale attacco è chiamato attacco di avvio a freddo.

Immagina un computer che giace incustodito in un'organizzazione per alcuni minuti. Qualsiasi hacker deve solo impostare i suoi strumenti e spegnere il computer. Quando la RAM si raffredda (i dati svaniscono lentamente), l'hacker inserisce una chiavetta USB(USB) avviabile e si avvia tramite quella. Lui o lei può copiare il contenuto in qualcosa come la stessa chiavetta(USB) USB.

Poiché la natura dell'attacco è spegnere il computer e quindi utilizzare l'interruttore di alimentazione per riavviarlo, viene chiamato avvio a freddo. Potresti aver imparato a conoscere l'avvio a freddo e l'avvio a caldo nei tuoi primi anni di informatica. L'avvio a freddo è il punto in cui si avvia un computer utilizzando l'interruttore di alimentazione. Un avvio a caldo è dove si utilizza l'opzione di riavviare un computer utilizzando l'opzione di riavvio nel menu di spegnimento.

Congelamento della RAM

Questo è l'ennesimo trucco sulle maniche degli hacker. Possono semplicemente spruzzare una sostanza (esempio: azoto liquido(Liquid Nitrogen) ) sui moduli RAM in modo che si congelino immediatamente. Più bassa è la temperatura, più a lungo la RAM può contenere le informazioni. Usando questo trucco, loro (hacker) possono completare con successo un Cold Boot Attack e copiare il massimo dei dati. Per accelerare il processo, utilizzano file di esecuzione automatica sul sistema(System) operativo leggero su chiavette USB(USB Sticks) o schede SD che vengono avviate subito dopo lo spegnimento del computer che viene violato.

Passaggi in un attacco di avvio a freddo

Non necessariamente tutti usano stili di attacco simili a quello indicato di seguito. Tuttavia, la maggior parte dei passaggi comuni sono elencati di seguito.

  1. Modificare prima le informazioni del BIOS per consentire l'avvio da USB
  2. Inserisci una (Insert)USB avviabile nel computer in questione
  3. Spegnere il computer forzatamente in modo che il processore non abbia il tempo di smontare le chiavi di crittografia o altri dati importanti; sappi che uno spegnimento corretto può anche aiutare ma potrebbe non avere lo stesso successo di uno spegnimento forzato premendo il tasto di accensione o altri metodi.
  4. Il prima possibile, utilizzando l'interruttore di alimentazione per avviare a freddo il computer che viene violato
  5. Poiché le impostazioni del BIOS sono state modificate, viene caricato il sistema operativo su una chiavetta USB(USB)
  6. Anche durante il caricamento di questo sistema operativo, eseguono automaticamente i processi per estrarre i dati archiviati nella RAM .
  7. Spegnere nuovamente il computer dopo aver controllato la memoria di destinazione (dove sono archiviati i dati rubati), rimuovere la chiavetta USB del sistema operativo(USB OS Stick) e allontanarsi

Quali informazioni sono a rischio in Cold Boot Attacks

Le informazioni/dati più comuni a rischio sono le chiavi di crittografia del disco e le password. Di solito, lo scopo di un attacco di avvio a freddo è recuperare le chiavi di crittografia del disco illegalmente, senza autorizzazione.

Le ultime cose che accadono quando si esegue un arresto corretto sono lo smontaggio dei dischi e l'utilizzo delle chiavi di crittografia per crittografarli, quindi è possibile che se un computer viene spento improvvisamente, i dati potrebbero essere ancora disponibili per loro.

Proteggiti da Cold Boot Attack

A livello personale, puoi solo assicurarti di rimanere vicino al tuo computer fino ad almeno 5 minuti dopo lo spegnimento. Inoltre, una precauzione consiste nello spegnimento corretto utilizzando il menu di spegnimento, invece di tirare il cavo elettrico o utilizzare il pulsante di accensione per spegnere il computer.

Non puoi fare molto perché non è in gran parte un problema di software. È più legato all'hardware. Quindi i produttori di apparecchiature dovrebbero prendere l'iniziativa di rimuovere tutti i dati dalla RAM il prima possibile dopo lo spegnimento di un computer per evitare e proteggerti dagli attacchi di avvio a freddo.

Alcuni computer ora sovrascrivono la RAM prima di spegnersi completamente. Tuttavia, la possibilità di uno spegnimento forzato è sempre presente.

La tecnica utilizzata da BitLocker consiste nell'utilizzare un PIN per accedere alla RAM . Anche se il computer è stato ibernato (uno stato di spegnimento del computer), quando l'utente lo riattiva e tenta di accedere a qualsiasi cosa, deve prima inserire un PIN per accedere alla RAM . Anche questo metodo non è infallibile in quanto gli hacker possono ottenere il PIN utilizzando uno dei metodi di Phishing o Social Engineering .

Sommario

Quanto sopra spiega cos'è un attacco di avvio a freddo e come funziona. Ci sono alcune restrizioni a causa delle quali la sicurezza al 100% non può essere offerta contro un attacco di avvio a freddo. Ma per quanto ne so, le società di sicurezza stanno lavorando per trovare una soluzione migliore rispetto alla semplice riscrittura della RAM o all'utilizzo di un PIN per proteggere il contenuto della RAM .

Ora leggi(Now read) : Cos'è un Surfing Attack(What is a Surfing Attack) ?



Monica De Angelis

About the author

Sono uno sviluppatore iOS con oltre 10 anni di esperienza. Sono specializzato nello sviluppo di app per iPhone e iPad. Ho esperienza nella creazione di flussi utente, nella creazione di kit di sviluppo personalizzati (CDK) e nell'utilizzo di vari framework di sviluppo di app. Nel mio lavoro precedente, ho anche sviluppato strumenti per aiutare a gestire l'App Store di Apple, che includono uno strumento di gestione del prodotto e uno strumento di invio delle app.


Related posts