Cold Boot Attack , verileri çalmak için kullanılan başka bir yöntemdir. Özel olan tek şey, bilgisayar donanımınıza veya tüm bilgisayara doğrudan erişimleri olmasıdır. Bu makale, Soğuk Önyükleme Saldırısı'nın^{(Boot Attack)} ne olduğu ve bu tür tekniklerden nasıl korunacağı hakkında konuşuyor .

Soğuk Önyükleme Saldırısı Nedir?

Soğuk Önyükleme Saldırısında^{(Cold Boot Attack)} veya Platform Sıfırlama Saldırısında, bilgisayarınıza fiziksel erişimi olan bir saldırgan, ^{(Platform Reset Attack,)}Windows işletim sisteminden şifreleme anahtarlarını almak için makineyi yeniden başlatmak için soğuk bir yeniden başlatma gerçekleştirir.

Okullarda bize RAM'in^(RAM) ( Rastgele Erişimli Bellek^{(Random Access Memory)} ) uçucu olduğunu ve bilgisayar kapatıldığında veri tutamayacağını öğrettiler. Bize söylemeleri gereken şey… bilgisayar kapalıysa verileri uzun süre tutamazlar^{(cannot hold data for long if the computer is switched off)} . Bu, RAM'in^(RAM) , elektrik kaynağının olmaması nedeniyle kaybolmadan önce verileri birkaç saniyeden birkaç dakikaya kadar tuttuğu anlamına gelir. Çok kısa bir süre için, uygun araçlara sahip herkes RAM'i^(RAM) okuyabilir ve içeriğini bir USB bellek veya SD Kart^{(SD Card)} üzerinde farklı bir hafif işletim sistemi kullanarak güvenli, kalıcı bir depolama alanına kopyalayabilir . Böyle bir saldırıya soğuk önyükleme saldırısı denir.

Bir kuruluşta birkaç dakika boyunca başıboş yatan bir bilgisayar hayal edin. Herhangi bir bilgisayar korsanının araçlarını yerleştirmesi ve bilgisayarı kapatması yeterlidir. RAM soğudukça (veriler yavaş yavaş kaybolur), bilgisayar korsanı önyüklenebilir bir USB çubuğu takar ve bunun üzerinden önyükleme yapar. İçeriği aynı USB^(USB) çubuğu gibi bir şeye kopyalayabilir .

Saldırının doğası bilgisayarı kapatmak ve ardından yeniden başlatmak için güç anahtarını kullanmak olduğundan, buna soğuk önyükleme denir. İlk bilgisayar yıllarınızda soğuk önyükleme ve sıcak başlatma hakkında bilgi edinmiş olabilirsiniz. Soğuk önyükleme, bir bilgisayarı güç anahtarını kullanarak başlattığınız yerdir. Sıcak Önyükleme, kapatma menüsündeki yeniden başlatma seçeneğini kullanarak bilgisayarı yeniden başlatma seçeneğini kullandığınız yerdir.

RAM'i dondurmak

Bu, bilgisayar korsanlarının kollarına başka bir numara. Hemen donmaları için RAM^(RAM) modüllerine bir miktar madde (örnek: Sıvı Azot^{(Liquid Nitrogen)} ) püskürtebilirler. Sıcaklık ne kadar düşük olursa, RAM o kadar uzun süre bilgi tutabilir. Bu numarayı kullanarak, onlar (bilgisayar korsanları) bir Soğuk Önyükleme Saldırısını^{(Cold Boot Attack)} başarıyla tamamlayabilir ve maksimum veriyi kopyalayabilir. İşlemi hızlandırmak için, saldırıya uğrayan bilgisayarı kapattıktan hemen sonra açılan USB Çubuklardaki^{(USB Sticks)} veya SD Kartlardaki hafif İşletim Sistemindeki otomatik çalıştırma dosyalarını kullanırlar.^(System)

Soğuk Önyükleme Saldırısındaki Adımlar

Herkesin aşağıda verilene benzer saldırı stilleri kullanması gerekmez. Ancak, yaygın adımların çoğu aşağıda listelenmiştir.

1. Önce USB'den^(USB) önyüklemeye izin vermek için BIOS bilgilerini değiştirin
2. ^(Insert)Söz konusu bilgisayara önyüklenebilir bir USB takın
3. İşlemcinin şifreleme anahtarlarını veya diğer önemli verileri kaldırmaya zaman bulamaması için bilgisayarı zorla kapatın; Doğru bir kapatmanın da yardımcı olabileceğini, ancak açma/kapama tuşuna veya diğer yöntemlere basarak zorla kapatma kadar başarılı olmayabileceğini bilin.
4. Mümkün olan en kısa sürede, saldırıya uğrayan bilgisayarı soğuk başlatmak için güç anahtarını kullanarak
5. BIOS ayarları değiştirildiğinden, bir USB çubuğundaki^(USB) işletim sistemi yüklenir
6. Bu işletim sistemi yüklenirken bile, RAM'de^(RAM) depolanan verileri çıkarmak için işlemleri otomatik olarak çalıştırırlar .
7. Hedef depolamayı (çalınan verilerin depolandığı yer) kontrol ettikten sonra bilgisayarı tekrar kapatın, USB OS Stick'i^{(USB OS Stick)} çıkarın ve uzaklaşın

Soğuk Başlatma Saldırılarında^{(Cold Boot Attacks)} hangi bilgiler risk altındadır?

Risk altındaki en yaygın bilgi/veri, disk şifreleme anahtarları ve parolalardır. Genellikle, bir soğuk önyükleme saldırısının amacı, disk şifreleme anahtarlarını izinsiz olarak yasa dışı olarak almaktır.

Uygun bir kapatma sırasında yapılacak son şeyler, diskleri çıkarmak ve onları şifrelemek için şifreleme anahtarlarını kullanmaktır, böylece bir bilgisayar aniden kapatılırsa, veriler onlar için hala kullanılabilir olabilir.

Kendinizi Soğuk Önyükleme Saldırısından Koruyun^{(Cold Boot Attack)}

Kişisel düzeyde, yalnızca kapatıldıktan sonra en az 5 dakika bilgisayarınızın yakınında olduğunuzdan emin olabilirsiniz. Ayrıca bir önlem, bilgisayarı kapatmak için elektrik kablosunu çekmek veya güç düğmesini kullanmak yerine kapatma menüsünü kullanarak düzgün şekilde kapatmaktır.

Pek bir şey yapamazsınız çünkü büyük ölçüde bir yazılım sorunu değildir. Daha çok donanımla alakalı. Bu nedenle, ekipman üreticileri, sizi soğuk önyükleme saldırısından korumak ve sizi korumak için bilgisayar kapatıldıktan sonra tüm verileri RAM'den^(RAM) mümkün olan en kısa sürede kaldırmak için inisiyatif almalıdır .

Bazı bilgisayarlar artık tamamen kapanmadan önce RAM'in üzerine yazıyor. ^(RAM)Yine de, zorla kapatma olasılığı her zaman vardır.

BitLocker tarafından kullanılan teknik , RAM'e^(RAM) erişmek için bir PIN kullanmaktır . Bilgisayar hazırda bekletme modunda (bilgisayarı kapatma durumu) olsa bile, kullanıcı onu uyandırdığında ve herhangi bir şeye erişmeye çalıştığında, RAM'e^(RAM) erişmek için önce bir PIN girmesi gerekir . Bilgisayar korsanları, Kimlik Avı^(Phishing) veya Sosyal Mühendislik^{(Social Engineering)} yöntemlerinden birini kullanarak PIN'i^(PIN) alabileceğinden, bu yöntem de kusursuz değildir .

Özet

Yukarıda, bir soğuk önyükleme saldırısının ne olduğu ve nasıl çalıştığı açıklanmaktadır. Soğuk başlatma saldırısına karşı %100 güvenlik sağlanamadığı için bazı kısıtlamalar vardır. Ancak bildiğim kadarıyla, güvenlik şirketleri RAM içeriğini korumak için yalnızca RAM'i yeniden yazmaktan veya^(RAM) bir PIN^(RAM) kullanmaktan daha^(PIN) iyi bir düzeltme bulmaya çalışıyor .

Şimdi okuyun^{(Now read)} : Sörf Saldırısı^{(What is a Surfing Attack)} Nedir?

What is a Cold Boot Attack and how can you stay safe?

Cold Boot Attack is yet another method used to steal data. The only thing special is that they have direct access to your computer hardware or the whole computer. This article talks about what is Cold Boot Attack and how to stay safe from such techniques.

What is Cold Boot Attack

In a Cold Boot Attack or a Platform Reset Attack, an attacker who has physical access to your computer does a cold reboot to restart the machine in order to retrieve encryption keys from the Windows operating system

They taught us in schools that RAM (Random Access Memory) is volatile and cannot hold data if the computer is switched off. What they should have told us should have been …cannot hold data for long if the computer is switched off. That means, RAM still holds data from few seconds to few minutes before it fades out due to lack of electricity supply. For an ultra-small period, anyone with proper tools can read the RAM and copy its contents to a safe, permanent storage using a different lightweight operating system on a USB stick or SD Card. Such an attack is called cold boot attack.

Imagine a computer lying unattended at some organization for a few minutes. Any hacker just has to set his tools in place and turn off the computer. As the RAM cools down (data fades out slowly), the hacker plugs in a bootable USB stick and boots via that. He or she can copy the contents into something like the same USB stick.

Since the nature of the attack is turning off the computer and then using the power switch to restart it, it is called cold boot. You might have learned about cold boot and warm boot in your early computing years. Cold boot is where you start a computer using the power switch. A Warm Boot is where you use the option of restarting a computer using the restart option in the shutdown menu.

Freezing the RAM

This is yet another trick on the sleeves of hackers. They can simply spray some substance (example: Liquid Nitrogen) on to RAM modules so that they freeze immediately. The lower the temperature, the longer RAM can hold information. Using this trick, they (hackers) can successfully complete a Cold Boot Attack and copy maximum data. To quicken the process, they use autorun files on the lightweight Operating System on USB Sticks or SD Cards that are booted soon after shutting down the computer being hacked.

Steps in a Cold Boot Attack

Not necessarily everyone uses attack styles similar to the one given below. However, most of the common steps are listed below.

1. Change the BIOS information to allow boot from USB first
2. Insert a bootable USB into the computer in question
3. Turn off the computer forcibly so that the processor doesn’t get time to dismount any encryption keys or other important data; know that a proper shutdown may too help but may not be as successful as a forced shut down by pressing the power key or other methods.
4. As soon as possible, using the power switch to cold boot the computer being hacked
5. Since the BIOS settings were changed, the OS on a USB stick is loaded
6. Even as this OS is being loaded, they autorun processes to extract data stored in RAM.
7. Turn off the computer again after checking the destination storage (where the stolen data is stored), remove the USB OS Stick, and walk away

What information is at risk in Cold Boot Attacks

Most common information/data at risk are disk encryption keys and passwords. Usually, the aim of a cold boot attack is to retrieve disk encryption keys illegally, without authorization.

The last things to happen when in a proper shutdown are dismounting the disks and using the encryption keys to encrypt them so it is possible that if a computer is turned off abruptly, the data might still be available for them.

Securing yourself from Cold Boot Attack

On a personal level, you can only make sure that you stay near your computer until at least 5 minutes after it is shut down. Plus one precaution is to shut down properly using the shutdown menu, instead of pulling the electric cord or using the power button to turn off the computer.

You can’t do much because it is not a software issue largely. It is related more to the hardware. So the equipment manufacturers should take the initiative to remove all data from RAM as soon as possible after a computer is turned off to avoid and protect you from cold boot attack.

Some computers now overwrite RAM before completely shut down. Still, the possibility of a forced shutdown is always there.

The technique used by BitLocker is to use a PIN to access RAM. Even if the computer has been hibernated (a state of turning off the computer), when the user wakes it up and tries to access anything, first he or she has to enter a PIN to access RAM. This method is also not fool-proof as hackers can get the PIN using one of the methods of Phishing or Social Engineering.

Summary

The above explains what a cold boot attack is and how it works. There are some restrictions due to which 100% security cannot be offered against a cold boot attack. But as far as I know, security companies are working to find a better fix than simply rewriting RAM or using a PIN to protect the contents of RAM.

Now read: What is a Surfing Attack?

Related posts

• Windows 10'te Retpoline'yı manuel olarak nasıl etkinleştirilir

• Bug, Issue or Vulnerability Microsoft'e nasıl rapor edilir?

• DLL Hijacking Vulnerability Attacks, Prevention & Detection

• CSS Exfil Protection tarayıcı uzantısı tekliflerde CSS Exfil vulnerability saldırı

• Bitdefender Home Scanner: Home Network'nızı güvenlik açıkları için tarayın

• Nasıl devre dışı bırakmak için Secure Boot içinde Windows 11/10

• Windows 10 önyüklendiğinde Quality or Feature Update'i kaldırın

• UEFI or BIOS firmware içine Windows önyükleme nasıl

• Başarısızlık, Windows 10 önyükleme dosyaları kopyalamak çalışırken

• Nasıl Boot or Repair Windows computer için Installation Media kullanarak

• SecPod Saner Personal: Free Advanced Vulnerability Scanner

• Nasıl Windows 11/10 içinde IPv4 üzerinde Start PXE düzeltmek için

• Uygulama düzgün başlatılamadı (0xc0000135)

• Varsayılan işletim sistemini nasıl değiştirilir; Change Boot varsayılanları

• Please USB drive'u Bekar FAT partition olarak biçimlendirin: Boot Camp Assistant

• Fix Error 1962, No işletim sistemi Windows 10 bilgisayarlarda bulunan

• Nasıl Windows 10 Bootcamp üzerinde Trackpad kaydırma yönünü değiştirmek için

• Bilgisayarınızın Master Boot Record'ini MBR Filter ile koruyun

• Boot order Windows 10'te nasıl değiştirilir

• Error 0211: Keyboard Windows 10 Bilgisayarda bulunamadı