Cold Boot Attack روش دیگری است که برای سرقت اطلاعات استفاده می شود. تنها چیز ویژه این است که آنها به سخت افزار رایانه شما یا کل رایانه دسترسی مستقیم دارند. این مقاله در مورد حمله با چکمه^{(Boot Attack)} سرد چیست و چگونه از چنین تکنیک هایی در امان بمانیم صحبت می کند.

حمله با چکمه سرد

حمله چکمه سرد چیست؟

در حمله بوت سرد^{(Cold Boot Attack)} یا حمله بازنشانی پلت فرم،^{(Platform Reset Attack,)} مهاجمی که به رایانه شما دسترسی فیزیکی دارد، یک راه‌اندازی مجدد سرد برای راه‌اندازی مجدد دستگاه انجام می‌دهد تا کلیدهای رمزگذاری را از سیستم عامل ویندوز بازیابی کند.^(Windows)

آنها در مدارس به ما یاد دادند که RAM ( حافظه دسترسی تصادفی^{(Random Access Memory)} ) فرار است و در صورت خاموش بودن رایانه نمی تواند داده ها را نگه دارد. چیزی که آنها باید به ما می گفتند باید این بود ... اگر کامپیوتر خاموش باشد نمی تواند اطلاعات را برای مدت طولانی نگه دارد^{(cannot hold data for long if the computer is switched off)} . این بدان معناست که RAM هنوز داده ها را از چند ثانیه تا چند دقیقه قبل از اینکه به دلیل عدم تامین برق از بین برود، نگه می دارد. برای یک دوره بسیار کوچک، هر کسی با ابزار مناسب می‌تواند رم^(RAM) را بخواند و محتویات آن را با استفاده از یک سیستم عامل سبک وزن متفاوت روی یک USB یا کارت SD^{(SD Card)} در یک حافظه امن و دائمی کپی کند . به چنین حمله ای حمله با بوت سرد می گویند.

تصور کنید یک رایانه برای چند دقیقه بدون مراقبت در یک سازمان خوابیده است. هر هکری فقط باید ابزار خود را در جای خود تنظیم کند و کامپیوتر را خاموش کند. همانطور که RAM خنک می شود (داده ها به آرامی محو می شوند)، هکر یک USB قابل بوت را وصل می کند و از طریق آن بوت می شود. او می تواند محتویات را در چیزی شبیه همان USB USB^(USB) کپی کند.

از آنجایی که ماهیت حمله خاموش کردن رایانه و سپس استفاده از کلید پاور برای راه اندازی مجدد آن است، به آن بوت سرد می گویند. ممکن است در سال های اولیه محاسبات خود درباره بوت سرد و بوت گرم یاد گرفته باشید. بوت سرد جایی است که کامپیوتر را با استفاده از کلید پاور راه اندازی می کنید. گرم بوت جایی است که شما از گزینه راه اندازی مجدد کامپیوتر با استفاده از گزینه راه اندازی مجدد در منوی خاموش کردن استفاده می کنید.

فریز کردن رم

این یک ترفند دیگر در آستین هکرها است. آنها به سادگی می توانند مقداری ماده (مثال: نیتروژن مایع^{(Liquid Nitrogen)} ) را روی ماژول های RAM اسپری کنند تا فوراً منجمد شوند. هرچه دما کمتر باشد، رم^(RAM) طولانی تری می تواند اطلاعات را در خود نگه دارد. با استفاده از این ترفند، آنها (هکرها) می توانند با موفقیت یک Cold Boot Attack را انجام دهند و حداکثر داده ها را کپی کنند. برای تسریع فرآیند، آنها از فایل‌های اتوران روی سیستم‌عامل سبک وزن روی USB Sticks یا کارت‌های SD ^{(USB Sticks)}استفاده^(System) می‌کنند که بلافاصله پس از خاموش کردن رایانه در حال هک کردن، بوت می‌شوند.

مراحل حمله با کفش سرد

لزوماً همه از سبک های حمله مشابه آنچه در زیر آورده شده است استفاده نمی کنند. با این حال، بیشتر مراحل رایج در زیر ذکر شده است.

اطلاعات بایوس^(BIOS) را تغییر دهید تا ابتدا از USB بوت شود
^(Insert)یک USB^(USB) قابل بوت را در رایانه مورد نظر قرار دهید
کامپیوتر را به اجبار خاموش کنید تا پردازنده وقت لازم برای جدا کردن کلیدهای رمزگذاری یا سایر داده های مهم را نداشته باشد. بدانید که خاموش کردن مناسب نیز ممکن است کمک کننده باشد، اما ممکن است به اندازه خاموش شدن اجباری با فشار دادن کلید پاور یا روش های دیگر موفقیت آمیز نباشد.
در اسرع وقت، با استفاده از کلید پاور برای بوت سرد کامپیوتری که هک می شود
از آنجایی که تنظیمات BIOS تغییر کرده است، سیستم عامل در یک USB بارگیری می شود
حتی زمانی که این سیستم‌عامل بارگذاری می‌شود، آنها پردازش‌های خودکار را برای استخراج داده‌های ذخیره شده در RAM اجرا می‌کنند.
پس از بررسی فضای ذخیره‌سازی مقصد (محل ذخیره داده‌های دزدیده شده) رایانه را دوباره خاموش کنید، USB OS Stick را بردارید و دور شوید.

چه اطلاعاتی در حملات Cold Boot در معرض خطر هستند^{(Cold Boot Attacks)}

رایج‌ترین اطلاعات/داده‌های در معرض خطر، کلیدهای رمزگذاری دیسک و رمزهای عبور هستند. معمولاً هدف حمله سرد بوت بازیابی کلیدهای رمزگذاری دیسک به صورت غیرقانونی و بدون مجوز است.

آخرین چیزهایی که هنگام خاموش شدن مناسب اتفاق می‌افتد، جدا کردن دیسک‌ها و استفاده از کلیدهای رمزگذاری برای رمزگذاری آن‌ها است، بنابراین ممکن است اگر رایانه به‌طور ناگهانی خاموش شود، ممکن است داده‌ها همچنان برای آنها در دسترس باشد.

خود را در برابر حمله چکمه سرد^{(Cold Boot Attack)} ایمن کنید

در سطح شخصی، فقط می توانید مطمئن شوید که حداقل تا 5 دقیقه پس از خاموش شدن رایانه خود در نزدیکی آن می مانید. به علاوه یک اقدام احتیاطی این است که به جای کشیدن سیم برق یا استفاده از دکمه پاور برای خاموش کردن رایانه، با استفاده از منوی خاموش کردن، به درستی خاموش شوید.

شما نمی توانید کار زیادی انجام دهید زیرا تا حد زیادی یک مشکل نرم افزاری نیست. بیشتر به سخت افزار مربوط می شود. بنابراین سازندگان تجهیزات باید ابتکار عمل را به کار گیرند تا در اسرع وقت پس از خاموش شدن رایانه، تمام داده ها را از رم حذف کنند تا از حمله بوت سرد جلوگیری کنند و از شما محافظت کنند.^(RAM)

اکنون برخی از رایانه ها قبل از خاموش شدن کامل، رم^(RAM) را بازنویسی می کنند. با این حال، احتمال تعطیلی اجباری همیشه وجود دارد.

تکنیک استفاده شده توسط BitLocker استفاده از یک پین^(PIN) برای دسترسی به RAM است. حتی اگر رایانه در حالت Hibernate (حالت خاموش کردن رایانه) باشد، وقتی کاربر آن را بیدار می‌کند و سعی می‌کند به هر چیزی دسترسی پیدا کند، ابتدا باید یک پین^(PIN) برای دسترسی به RAM وارد کند. این روش همچنین ضد احمق نیست زیرا هکرها می توانند پین^(PIN) را با استفاده از یکی از روش های فیشینگ^(Phishing) یا مهندسی اجتماعی^{(Social Engineering)} دریافت کنند.

خلاصه

موارد بالا توضیح می دهد که حمله بوت سرد چیست و چگونه کار می کند. محدودیت هایی وجود دارد که به دلیل آن نمی توان امنیت 100% را در برابر حمله بوت سرد ارائه کرد. اما تا آنجا که من می دانم، شرکت های امنیتی در تلاش هستند تا راه حلی بهتر از بازنویسی رم^(RAM) یا استفاده از پین^(PIN) برای محافظت از محتویات RAM پیدا کنند.

اکنون بخوانید^{(Now read)} : حمله موج سواری^{(What is a Surfing Attack)} چیست؟

What is a Cold Boot Attack and how can you stay safe?

Cold Boot Attack is yet another method used to steal data. The only thing special is that they have direct access to your computer hardware or the whole computer. This article talks about what is Cold Boot Attack and how to stay safe from such techniques.

cold-boot-attack

What is Cold Boot Attack

In a Cold Boot Attack or a Platform Reset Attack, an attacker who has physical access to your computer does a cold reboot to restart the machine in order to retrieve encryption keys from the Windows operating system

They taught us in schools that RAM (Random Access Memory) is volatile and cannot hold data if the computer is switched off. What they should have told us should have been …cannot hold data for long if the computer is switched off. That means, RAM still holds data from few seconds to few minutes before it fades out due to lack of electricity supply. For an ultra-small period, anyone with proper tools can read the RAM and copy its contents to a safe, permanent storage using a different lightweight operating system on a USB stick or SD Card. Such an attack is called cold boot attack.

Imagine a computer lying unattended at some organization for a few minutes. Any hacker just has to set his tools in place and turn off the computer. As the RAM cools down (data fades out slowly), the hacker plugs in a bootable USB stick and boots via that. He or she can copy the contents into something like the same USB stick.

Since the nature of the attack is turning off the computer and then using the power switch to restart it, it is called cold boot. You might have learned about cold boot and warm boot in your early computing years. Cold boot is where you start a computer using the power switch. A Warm Boot is where you use the option of restarting a computer using the restart option in the shutdown menu.

Freezing the RAM

This is yet another trick on the sleeves of hackers. They can simply spray some substance (example: Liquid Nitrogen) on to RAM modules so that they freeze immediately. The lower the temperature, the longer RAM can hold information. Using this trick, they (hackers) can successfully complete a Cold Boot Attack and copy maximum data. To quicken the process, they use autorun files on the lightweight Operating System on USB Sticks or SD Cards that are booted soon after shutting down the computer being hacked.

Steps in a Cold Boot Attack

Not necessarily everyone uses attack styles similar to the one given below. However, most of the common steps are listed below.

Change the BIOS information to allow boot from USB first
Insert a bootable USB into the computer in question
Turn off the computer forcibly so that the processor doesn’t get time to dismount any encryption keys or other important data; know that a proper shutdown may too help but may not be as successful as a forced shut down by pressing the power key or other methods.
As soon as possible, using the power switch to cold boot the computer being hacked
Since the BIOS settings were changed, the OS on a USB stick is loaded
Even as this OS is being loaded, they autorun processes to extract data stored in RAM.
Turn off the computer again after checking the destination storage (where the stolen data is stored), remove the USB OS Stick, and walk away

What information is at risk in Cold Boot Attacks

Most common information/data at risk are disk encryption keys and passwords. Usually, the aim of a cold boot attack is to retrieve disk encryption keys illegally, without authorization.

The last things to happen when in a proper shutdown are dismounting the disks and using the encryption keys to encrypt them so it is possible that if a computer is turned off abruptly, the data might still be available for them.

Securing yourself from Cold Boot Attack

On a personal level, you can only make sure that you stay near your computer until at least 5 minutes after it is shut down. Plus one precaution is to shut down properly using the shutdown menu, instead of pulling the electric cord or using the power button to turn off the computer.

You can’t do much because it is not a software issue largely. It is related more to the hardware. So the equipment manufacturers should take the initiative to remove all data from RAM as soon as possible after a computer is turned off to avoid and protect you from cold boot attack.

Some computers now overwrite RAM before completely shut down. Still, the possibility of a forced shutdown is always there.

The technique used by BitLocker is to use a PIN to access RAM. Even if the computer has been hibernated (a state of turning off the computer), when the user wakes it up and tries to access anything, first he or she has to enter a PIN to access RAM. This method is also not fool-proof as hackers can get the PIN using one of the methods of Phishing or Social Engineering.

Summary

The above explains what a cold boot attack is and how it works. There are some restrictions due to which 100% security cannot be offered against a cold boot attack. But as far as I know, security companies are working to find a better fix than simply rewriting RAM or using a PIN to protect the contents of RAM.

Now read: What is a Surfing Attack?

رشید طباطبائی

About the author

من یک مهندس نرم افزار با تجربه در Xbox Explorer، Microsoft Excel و Windows 8.1 Explorer هستم. در اوقات فراغت دوست دارم بازی های ویدیویی انجام دهم و تلویزیون تماشا کنم. من از دانشگاه یوتا مدرک دارم و در حال حاضر به عنوان مهندس نرم افزار برای یک شرکت بین المللی کار می کنم.

حمله چکمه سرد چیست و چگونه می توان ایمن ماند؟

حمله چکمه سرد چیست؟

فریز کردن رم

مراحل حمله با کفش سرد

چه اطلاعاتی در حملات Cold Boot در معرض خطر هستند^{(Cold Boot Attacks)}

خود را در برابر حمله چکمه سرد^{(Cold Boot Attack)} ایمن کنید

خلاصه

What is a Cold Boot Attack and how can you stay safe?

What is Cold Boot Attack

Freezing the RAM

Steps in a Cold Boot Attack

What information is at risk in Cold Boot Attacks

Securing yourself from Cold Boot Attack

Summary

رشید طباطبائی

About the author

Related posts

چگونه به صورت دستی فعال Retpoline در Windows 10

چگونه گزارش Bug، Issue or Vulnerability به Microsoft

DLL Hijacking Vulnerability Attacks، Prevention & Detection

CSS Exfil Protection Extension مرورگر CSS Exfil vulnerability Attack را ارائه می دهد

Bitdefender Home Scanner: Home Network خود را برای آسیب پذیری ها اسکن کنید

حفاظت از Master Boot Record کامپیوتر خود را با MBR Filter محافظت کنید

چگونه Boot or Repair Windows computer با استفاده از Installation Media

حذف Quality or Feature Update هنگامی که ویندوز 10 بوت نمی شود

نحوه تغییر سیستم عامل پیش فرض؛ Change Boot پیش فرض

چگونه برای انجام Clean Boot در Windows 10

چگونه برای تغییر جهت حرکت Trackpad در Windows 10 Bootcamp

Fix Non-system disk or disk error Black screen در ویندوز 10

ایجاد MultiBoot USB Flash Drive با استفاده از YUMI Multiboot USB Creator

شکست هنگام تلاش برای کپی کردن فایل های بوت در ویندوز 10

اندازه گیری Boot Time در Windows با Windows Boot Timer

Fix Error 1962، سیستم عامل بر روی کامپیوتر Windows 10

Fix Motherboard error code 99 در رایانه های ویندوز

ویندوز 10 بوت پس از System بازگرداندن

ویندوز 10 کامپیوتر بوت خواهد شد و پس از power outage

چگونه به رفع Start PXE بیش از IPv4 در Windows 11/10

حمله چکمه سرد چیست و چگونه می توان ایمن ماند؟

حمله چکمه سرد چیست؟

فریز کردن رم

مراحل حمله با کفش سرد

چه اطلاعاتی در حملات Cold Boot در معرض خطر هستند(Cold Boot Attacks)

خود را در برابر حمله چکمه سرد(Cold Boot Attack) ایمن کنید

خلاصه

What is a Cold Boot Attack and how can you stay safe?

What is Cold Boot Attack

Freezing the RAM

Steps in a Cold Boot Attack

What information is at risk in Cold Boot Attacks

Securing yourself from Cold Boot Attack

Summary

رشید طباطبائی

About the author

Related posts

چگونه به صورت دستی فعال Retpoline در Windows 10

چگونه گزارش Bug، Issue or Vulnerability به Microsoft

DLL Hijacking Vulnerability Attacks، Prevention & Detection

CSS Exfil Protection Extension مرورگر CSS Exfil vulnerability Attack را ارائه می دهد

Bitdefender Home Scanner: Home Network خود را برای آسیب پذیری ها اسکن کنید

حفاظت از Master Boot Record کامپیوتر خود را با MBR Filter محافظت کنید

چگونه Boot or Repair Windows computer با استفاده از Installation Media

حذف Quality or Feature Update هنگامی که ویندوز 10 بوت نمی شود

نحوه تغییر سیستم عامل پیش فرض؛ Change Boot پیش فرض

چگونه برای انجام Clean Boot در Windows 10

چگونه برای تغییر جهت حرکت Trackpad در Windows 10 Bootcamp

Fix Non-system disk or disk error Black screen در ویندوز 10

ایجاد MultiBoot USB Flash Drive با استفاده از YUMI Multiboot USB Creator

شکست هنگام تلاش برای کپی کردن فایل های بوت در ویندوز 10

اندازه گیری Boot Time در Windows با Windows Boot Timer

Fix Error 1962، سیستم عامل بر روی کامپیوتر Windows 10

Fix Motherboard error code 99 در رایانه های ویندوز

ویندوز 10 بوت پس از System بازگرداندن

ویندوز 10 کامپیوتر بوت خواهد شد و پس از power outage

چگونه به رفع Start PXE بیش از IPv4 در Windows 11/10

چه اطلاعاتی در حملات Cold Boot در معرض خطر هستند^{(Cold Boot Attacks)}

خود را در برابر حمله چکمه سرد^{(Cold Boot Attack)} ایمن کنید