콜드 부트 공격(Cold Boot Attack) 은 데이터를 훔치는 데 사용되는 또 다른 방법입니다. 특별한 점은 컴퓨터 하드웨어 또는 전체 컴퓨터에 직접 액세스할 수 있다는 것입니다. 이 문서에서는 Cold Boot Attack 이 무엇이며 이러한 기술로부터 안전하게 유지하는 방법에 대해 설명합니다.
콜드 부트 공격이란
콜드 부팅 공격(Cold Boot Attack) 또는 플랫폼 재설정 공격에서(Platform Reset Attack,) 컴퓨터 에 물리적으로 액세스할 수 있는 공격자는 Windows 운영 체제 에서 암호화 키를 검색하기 위해 컴퓨터를 다시 시작하기 위해 콜드 재부팅을 수행합니다.
그들은 학교에서 RAM ( Random Access Memory )이 휘발성이며 컴퓨터가 꺼져 있으면 데이터를 저장할 수 없다고 가르쳤습니다. 그들이 우리에게 말했어야 하는 것은 ... 컴퓨터가 꺼져 있으면 데이터를 오랫동안 유지할 수 없다는 것이었습니다(cannot hold data for long if the computer is switched off) . 즉, RAM 은 전력 공급 부족으로 인해 사라지기 전에 몇 초에서 몇 분까지 데이터를 계속 보유합니다. 아주 짧은 기간 동안 적절한 도구만 있으면 누구든지 RAM을 읽고 USB 스틱이나 SD 카드 의 다른 경량 운영 체제를 사용하여 (SD Card)RAM 의 내용을 안전한 영구 저장소에 복사 할 수 있습니다 . 이러한 공격을 콜드 부트 공격이라고 합니다.
어떤 조직에서 몇 분 동안 무인 상태로 누워 있는 컴퓨터를 상상해 보십시오. 해커는 도구를 제자리에 놓고 컴퓨터를 끄기만 하면 됩니다. RAM 이 냉각되면(데이터가 천천히 사라짐) 해커는 부팅 가능한 USB 스틱을 연결하고 이를 통해 부팅(USB) 합니다. 그 또는 그녀는 내용을 동일한 USB 스틱과 같은 것으로 복사할 수 있습니다.
공격의 본질은 컴퓨터를 끈 다음 전원 스위치를 사용하여 다시 시작하는 것이므로 콜드 부팅이라고 합니다. 초기 컴퓨팅 시대에 콜드 부팅과 웜 부팅에 대해 배웠을 것입니다. 콜드 부팅은 전원 스위치를 사용하여 컴퓨터를 시작하는 곳입니다. 웜 부팅은 종료 메뉴의 다시 시작 옵션을 사용하여 컴퓨터를 다시 시작하는 옵션을 사용하는 곳입니다.
RAM 고정
이것은 해커의 또 다른 속임수입니다. RAM 모듈에 일부 물질(예: 액체 질소(Liquid Nitrogen) )을 분사하여 즉시 동결할 수 있습니다. 온도가 낮을수록 더 긴 RAM 이 정보를 저장할 수 있습니다. 이 트릭을 사용하여 해커(해커)는 콜드 부트 공격(Cold Boot Attack) 을 성공적으로 완료하고 최대 데이터를 복사할 수 있습니다. 프로세스를 빠르게 하기 위해 그들은 해킹당하는 컴퓨터를 종료한 직후 부팅되는 USB 스틱 또는 SD 카드의 경량 운영 (USB Sticks)체제(System) 에서 자동 실행 파일을 사용합니다.
콜드 부트 공격의 단계
반드시 모든 사람이 아래에 주어진 것과 유사한 공격 스타일을 사용하는 것은 아닙니다. 그러나 대부분의 일반적인 단계가 아래에 나열되어 있습니다.
- USB 에서 먼저 부팅할 수 있도록 BIOS 정보 변경
- (Insert)해당 컴퓨터에 부팅 가능한 USB 를 (USB)삽입 합니다.
- 프로세서가 암호화 키 또는 기타 중요한 데이터를 분리할 시간을 갖지 않도록 컴퓨터를 강제로 끕니다. 적절한 종료도 도움이 될 수 있지만 전원 키나 다른 방법을 눌러 강제 종료하는 것만큼 성공적이지 않을 수 있음을 알고 있습니다.
- 가능한 한 빨리 전원 스위치를 사용하여 해킹당한 컴퓨터를 콜드 부팅하십시오.
- BIOS 설정이 변경 되었으므로 USB 스틱 의 OS 가 로드됩니다.
- 이 OS가 로드되는 동안에도 RAM 에 저장된 데이터를 추출하는 프로세스를 자동 실행합니다 .
- 대상 저장소(도난된 데이터가 저장되어 있는 곳)를 확인한 후 컴퓨터를 다시 끄고 USB OS 스틱(USB OS Stick) 을 제거하고 자리를 비우 십시오.
콜드 부트 공격(Cold Boot Attacks) 의 위험에 처한 정보
위험에 처한 가장 일반적인 정보/데이터는 디스크 암호화 키와 암호입니다. 일반적으로 콜드 부팅 공격의 목표는 승인 없이 디스크 암호화 키를 불법적으로 검색하는 것입니다.
적절한 종료 시 마지막으로 수행되는 작업은 디스크 마운트를 해제하고 암호화 키를 사용하여 디스크를 암호화하여 컴퓨터가 갑자기 꺼져도 데이터를 계속 사용할 수 있도록 하는 것입니다.
콜드 부트 공격(Cold Boot Attack) 으로부터 자신을 보호
개인적인 차원에서는 컴퓨터가 종료된 후 최소 5분 전까지만 컴퓨터 근처에 있어야 합니다. 또한 한 가지 예방 조치는 전기 코드를 뽑거나 전원 버튼을 사용하여 컴퓨터를 끄는 대신 종료 메뉴를 사용하여 올바르게 종료하는 것입니다.
크게 소프트웨어 문제가 아니기 때문에 많은 것을 할 수 없습니다. 하드웨어와 더 관련이 있습니다. 따라서 장비 제조업체는 콜드 부팅 공격을 방지하고 보호하기 위해 컴퓨터가 꺼진 후 가능한 한 빨리 RAM 에서 모든 데이터를 제거하는 데 앞장서야 합니다.(RAM)
일부 컴퓨터는 이제 완전히 종료되기 전에 RAM 을 덮어씁니다 . 그러나 강제 종료 가능성은 항상 존재합니다.
BitLocker 에서 사용 하는 기술 은 PIN 을 사용하여 RAM 에 액세스 하는 것 입니다. 컴퓨터가 최대 절전 모드(컴퓨터가 꺼진 상태)인 경우에도 사용자가 컴퓨터를 깨우고 무엇이든 액세스하려고 하면 먼저 PIN 을 입력해야 (PIN)RAM 에 액세스할 수 있습니다 . 이 방법은 해커가 피싱(Phishing) 또는 사회 공학(Social Engineering) 방법 중 하나를 사용 하여 PIN 을 얻을 수 있기 때문에 완벽하지 않습니다 .
요약
위의 내용은 콜드 부트 공격이 무엇이며 어떻게 작동하는지 설명합니다. 콜드 부팅 공격에 대해 100% 보안을 제공할 수 없는 몇 가지 제한 사항이 있습니다. 그러나 내가 아는 한 보안 회사는 단순히 RAM 을 다시 작성 하거나 PIN 을 사용하여 (PIN)RAM 의 내용을 보호하는 것보다 더 나은 해결책을 찾기 위해 노력하고 있습니다.
지금 읽으십시오(Now read) : 서핑 공격이란 무엇입니까(What is a Surfing Attack) ?
What is a Cold Boot Attack and how can you stay safe?
Cold Boot Attack is yet another method used to steal data. The only thing special is that they have direct access to your computer hardware or the whole computer. This article talks about what is Cold Boot Attack and how to stay safe from such techniques.
What is Cold Boot Attack
In a Cold Boot Attack or a Platform Reset Attack, an attacker who has physical access to your computer does a cold reboot to restart the machine in order to retrieve encryption keys from the Windows operating system
They taught us in schools that RAM (Random Access Memory) is volatile and cannot hold data if the computer is switched off. What they should have told us should have been …cannot hold data for long if the computer is switched off. That means, RAM still holds data from few seconds to few minutes before it fades out due to lack of electricity supply. For an ultra-small period, anyone with proper tools can read the RAM and copy its contents to a safe, permanent storage using a different lightweight operating system on a USB stick or SD Card. Such an attack is called cold boot attack.
Imagine a computer lying unattended at some organization for a few minutes. Any hacker just has to set his tools in place and turn off the computer. As the RAM cools down (data fades out slowly), the hacker plugs in a bootable USB stick and boots via that. He or she can copy the contents into something like the same USB stick.
Since the nature of the attack is turning off the computer and then using the power switch to restart it, it is called cold boot. You might have learned about cold boot and warm boot in your early computing years. Cold boot is where you start a computer using the power switch. A Warm Boot is where you use the option of restarting a computer using the restart option in the shutdown menu.
Freezing the RAM
This is yet another trick on the sleeves of hackers. They can simply spray some substance (example: Liquid Nitrogen) on to RAM modules so that they freeze immediately. The lower the temperature, the longer RAM can hold information. Using this trick, they (hackers) can successfully complete a Cold Boot Attack and copy maximum data. To quicken the process, they use autorun files on the lightweight Operating System on USB Sticks or SD Cards that are booted soon after shutting down the computer being hacked.
Steps in a Cold Boot Attack
Not necessarily everyone uses attack styles similar to the one given below. However, most of the common steps are listed below.
- Change the BIOS information to allow boot from USB first
- Insert a bootable USB into the computer in question
- Turn off the computer forcibly so that the processor doesn’t get time to dismount any encryption keys or other important data; know that a proper shutdown may too help but may not be as successful as a forced shut down by pressing the power key or other methods.
- As soon as possible, using the power switch to cold boot the computer being hacked
- Since the BIOS settings were changed, the OS on a USB stick is loaded
- Even as this OS is being loaded, they autorun processes to extract data stored in RAM.
- Turn off the computer again after checking the destination storage (where the stolen data is stored), remove the USB OS Stick, and walk away
What information is at risk in Cold Boot Attacks
Most common information/data at risk are disk encryption keys and passwords. Usually, the aim of a cold boot attack is to retrieve disk encryption keys illegally, without authorization.
The last things to happen when in a proper shutdown are dismounting the disks and using the encryption keys to encrypt them so it is possible that if a computer is turned off abruptly, the data might still be available for them.
Securing yourself from Cold Boot Attack
On a personal level, you can only make sure that you stay near your computer until at least 5 minutes after it is shut down. Plus one precaution is to shut down properly using the shutdown menu, instead of pulling the electric cord or using the power button to turn off the computer.
You can’t do much because it is not a software issue largely. It is related more to the hardware. So the equipment manufacturers should take the initiative to remove all data from RAM as soon as possible after a computer is turned off to avoid and protect you from cold boot attack.
Some computers now overwrite RAM before completely shut down. Still, the possibility of a forced shutdown is always there.
The technique used by BitLocker is to use a PIN to access RAM. Even if the computer has been hibernated (a state of turning off the computer), when the user wakes it up and tries to access anything, first he or she has to enter a PIN to access RAM. This method is also not fool-proof as hackers can get the PIN using one of the methods of Phishing or Social Engineering.
Summary
The above explains what a cold boot attack is and how it works. There are some restrictions due to which 100% security cannot be offered against a cold boot attack. But as far as I know, security companies are working to find a better fix than simply rewriting RAM or using a PIN to protect the contents of RAM.
Now read: What is a Surfing Attack?