Cold Boot Attack es otro método utilizado para robar datos. Lo único especial es que tienen acceso directo al hardware de su computadora o a toda la computadora. Este artículo habla sobre qué es Cold Boot Attack y cómo mantenerse a salvo de tales técnicas.

¿Qué es el ataque de arranque en frío?

En un ataque de arranque en frío^{(Cold Boot Attack)} o un ataque de reinicio de plataforma,^{(Platform Reset Attack,)} un atacante que tiene acceso físico a su computadora hace un reinicio en frío para reiniciar la máquina con el fin de recuperar las claves de cifrado del sistema operativo Windows .

Nos enseñaron en las escuelas que la RAM ( memoria de acceso aleatorio^{(Random Access Memory)} ) es volátil y no puede contener datos si la computadora está apagada. Lo que deberían habernos dicho debería haber sido... no pueden almacenar datos por mucho tiempo si la computadora está apagada^{(cannot hold data for long if the computer is switched off)} . Eso significa que la memoria RAM^(RAM) aún conserva datos desde unos pocos segundos hasta unos minutos antes de que se desvanezca debido a la falta de suministro eléctrico. Durante un período ultrapequeño, cualquier persona con las herramientas adecuadas puede leer la memoria RAM^(RAM) y copiar su contenido en un almacenamiento seguro y permanente utilizando un sistema operativo liviano diferente en una memoria USB^(USB) o una tarjeta SD^{(SD Card)} . Tal ataque se llama ataque de arranque en frío.

Imagine una computadora desatendida en alguna organización durante unos minutos. Cualquier hacker solo tiene que configurar sus herramientas y apagar la computadora. A medida que la RAM se enfría (los datos se desvanecen lentamente), el pirata informático conecta una memoria USB^(USB) de arranque y arranca a través de ella. Él o ella puede copiar el contenido en algo parecido a la misma memoria USB^(USB) .

Dado que la naturaleza del ataque es apagar la computadora y luego usar el interruptor de encendido para reiniciarla, se denomina arranque en frío. Es posible que haya aprendido sobre el arranque en frío y el arranque en caliente en sus primeros años de informática. El arranque en frío es donde inicia una computadora usando el interruptor de encendido. Un Warm Boot es donde usa la opción de reiniciar una computadora usando la opción de reinicio en el menú de apagado.

Congelando la memoria RAM

Este es otro truco en las mangas de los piratas informáticos. Simplemente pueden rociar alguna sustancia (ejemplo: nitrógeno líquido^{(Liquid Nitrogen)} ) en los módulos RAM para que se congelen inmediatamente. ^(RAM)Cuanto más baja sea la temperatura, más RAM puede contener información. Con este truco, ellos (los piratas informáticos) pueden completar con éxito un ataque de arranque en frío^{(Cold Boot Attack)} y copiar el máximo de datos. Para acelerar el proceso, usan archivos de ejecución automática en el sistema^(System) operativo liviano en memorias USB^{(USB Sticks)} o tarjetas SD que se inician poco después de apagar la computadora que está siendo pirateada.

Pasos en un ataque de arranque en frío

No necesariamente todos usan estilos de ataque similares al que se proporciona a continuación. Sin embargo, la mayoría de los pasos comunes se enumeran a continuación.

1. Cambie la información del BIOS para permitir el arranque desde USB primero
2. Inserte un ^(Insert)USB de arranque en la computadora en cuestión
3. Apague la computadora a la fuerza para que el procesador no tenga tiempo de desmontar las claves de cifrado u otros datos importantes; sepa que un apagado adecuado también puede ayudar, pero puede no ser tan exitoso como un apagado forzado presionando la tecla de encendido u otros métodos.
4. Tan pronto como sea posible, use el interruptor de encendido para arrancar en frío la computadora que está siendo pirateada
5. Dado que se cambió la configuración del BIOS , se carga el sistema operativo en una memoria USB^(USB)
6. Incluso mientras se carga este sistema operativo, ejecutan automáticamente los procesos para extraer los datos almacenados en la RAM .
7. Apague la computadora nuevamente después de verificar el almacenamiento de destino (donde se almacenan los datos robados), retire la memoria USB OS^{(USB OS Stick)} y aléjese

Qué información está en riesgo en los ataques de arranque en frío^{(Cold Boot Attacks)}

La información/datos más comunes en riesgo son las claves y contraseñas de cifrado de disco. Por lo general, el objetivo de un ataque de arranque en frío es recuperar claves de cifrado de disco de forma ilegal, sin autorización.

Lo último que sucede cuando se apaga correctamente es desmontar los discos y usar las claves de cifrado para cifrarlos, por lo que es posible que si una computadora se apaga abruptamente, los datos aún estén disponibles para ellos.

Protegiéndose del ataque de arranque en frío^{(Cold Boot Attack)}

A nivel personal, solo puede asegurarse de permanecer cerca de su computadora hasta al menos 5 minutos después de que se apague. Además, una precaución es apagar correctamente usando el menú de apagado, en lugar de jalar el cable eléctrico o usar el botón de encendido para apagar la computadora.

No puede hacer mucho porque no es un problema de software en gran medida. Se relaciona más con el hardware. Por lo tanto, los fabricantes de equipos deben tomar la iniciativa de eliminar todos los datos de la RAM lo antes posible después de que se apague una computadora para evitar y protegerlo del ataque de arranque en frío.

Algunas computadoras ahora sobrescriben la memoria RAM^(RAM) antes de apagarse por completo. Aún así, la posibilidad de un apagado forzado siempre está ahí.

La técnica que utiliza BitLocker es usar un PIN para acceder a la RAM . Incluso si la computadora ha estado en hibernación (un estado de apagar la computadora), cuando el usuario la activa e intenta acceder a cualquier cosa, primero debe ingresar un PIN para acceder a la RAM . Este método tampoco es infalible ya que los piratas informáticos pueden obtener el PIN utilizando uno de los métodos de phishing o ingeniería social^{(Social Engineering)} .

Resumen

Lo anterior explica qué es un ataque de arranque en frío y cómo funciona. Existen algunas restricciones debido a las cuales no se puede ofrecer el 100 % de seguridad contra un ataque de arranque en frío. Pero hasta donde yo sé, las empresas de seguridad están trabajando para encontrar una solución mejor que simplemente reescribir la RAM o usar un PIN para proteger el contenido de la RAM .

Ahora lea^{(Now read)} : ¿Qué es un ataque de surf^{(What is a Surfing Attack)} ?

What is a Cold Boot Attack and how can you stay safe?

Cold Boot Attack is yet another method used to steal data. The only thing special is that they have direct access to your computer hardware or the whole computer. This article talks about what is Cold Boot Attack and how to stay safe from such techniques.

What is Cold Boot Attack

In a Cold Boot Attack or a Platform Reset Attack, an attacker who has physical access to your computer does a cold reboot to restart the machine in order to retrieve encryption keys from the Windows operating system

They taught us in schools that RAM (Random Access Memory) is volatile and cannot hold data if the computer is switched off. What they should have told us should have been …cannot hold data for long if the computer is switched off. That means, RAM still holds data from few seconds to few minutes before it fades out due to lack of electricity supply. For an ultra-small period, anyone with proper tools can read the RAM and copy its contents to a safe, permanent storage using a different lightweight operating system on a USB stick or SD Card. Such an attack is called cold boot attack.

Imagine a computer lying unattended at some organization for a few minutes. Any hacker just has to set his tools in place and turn off the computer. As the RAM cools down (data fades out slowly), the hacker plugs in a bootable USB stick and boots via that. He or she can copy the contents into something like the same USB stick.

Since the nature of the attack is turning off the computer and then using the power switch to restart it, it is called cold boot. You might have learned about cold boot and warm boot in your early computing years. Cold boot is where you start a computer using the power switch. A Warm Boot is where you use the option of restarting a computer using the restart option in the shutdown menu.

Freezing the RAM

This is yet another trick on the sleeves of hackers. They can simply spray some substance (example: Liquid Nitrogen) on to RAM modules so that they freeze immediately. The lower the temperature, the longer RAM can hold information. Using this trick, they (hackers) can successfully complete a Cold Boot Attack and copy maximum data. To quicken the process, they use autorun files on the lightweight Operating System on USB Sticks or SD Cards that are booted soon after shutting down the computer being hacked.

Steps in a Cold Boot Attack

Not necessarily everyone uses attack styles similar to the one given below. However, most of the common steps are listed below.

1. Change the BIOS information to allow boot from USB first
2. Insert a bootable USB into the computer in question
3. Turn off the computer forcibly so that the processor doesn’t get time to dismount any encryption keys or other important data; know that a proper shutdown may too help but may not be as successful as a forced shut down by pressing the power key or other methods.
4. As soon as possible, using the power switch to cold boot the computer being hacked
5. Since the BIOS settings were changed, the OS on a USB stick is loaded
6. Even as this OS is being loaded, they autorun processes to extract data stored in RAM.
7. Turn off the computer again after checking the destination storage (where the stolen data is stored), remove the USB OS Stick, and walk away

What information is at risk in Cold Boot Attacks

Most common information/data at risk are disk encryption keys and passwords. Usually, the aim of a cold boot attack is to retrieve disk encryption keys illegally, without authorization.

The last things to happen when in a proper shutdown are dismounting the disks and using the encryption keys to encrypt them so it is possible that if a computer is turned off abruptly, the data might still be available for them.

Securing yourself from Cold Boot Attack

On a personal level, you can only make sure that you stay near your computer until at least 5 minutes after it is shut down. Plus one precaution is to shut down properly using the shutdown menu, instead of pulling the electric cord or using the power button to turn off the computer.

You can’t do much because it is not a software issue largely. It is related more to the hardware. So the equipment manufacturers should take the initiative to remove all data from RAM as soon as possible after a computer is turned off to avoid and protect you from cold boot attack.

Some computers now overwrite RAM before completely shut down. Still, the possibility of a forced shutdown is always there.

The technique used by BitLocker is to use a PIN to access RAM. Even if the computer has been hibernated (a state of turning off the computer), when the user wakes it up and tries to access anything, first he or she has to enter a PIN to access RAM. This method is also not fool-proof as hackers can get the PIN using one of the methods of Phishing or Social Engineering.

Summary

The above explains what a cold boot attack is and how it works. There are some restrictions due to which 100% security cannot be offered against a cold boot attack. But as far as I know, security companies are working to find a better fix than simply rewriting RAM or using a PIN to protect the contents of RAM.

Now read: What is a Surfing Attack?

Related posts

• Cómo habilitar manualmente Retpoline en Windows 10

• Cómo informar Bug, Issue or Vulnerability a Microsoft

• DLL Hijacking Vulnerability Attacks, Prevention & Detection

• CSS Exfil Protection Extensión del navegador Ofertas CSS Exfil vulnerability Ataque

• Bitdefender Home Scanner: Analice su Home Network para las vulnerabilidades

• Microsoft Surface no se enciende, arranca o se despierta de Sleep

• Cómo Boot or Repair Windows computer Uso del Installation Media

• La aplicación no se pudo inicializar correctamente (0xc0000135)

• Cómo usar Avast Boot Scan para eliminar Malware de Windows PC

• Cómo realizar Clean Boot en Windows 10

• Reparación de errores de disco, esto podría tomar una hora para completar

• Windows 10 no arranque; Automatic Startup Repair, Reset PC falla y va en bucle

• Proteja el Master Boot Record de su computadora con MBR Filter

• Cómo cambiar Boot order en Windows 10

• Cómo deshabilitar Secure Boot en Windows 11/10

• Crea un MultiBoot USB Flash Drive usando YUMI Multiboot USB Creator

• Error en la instalación en SAFE_OS phase durante BOOT operation

• Medir Boot Time en Windows con Windows Boot Timer

• BitLocker Setup no pudo exportar la tienda BCD (Boot Configuration Data)

• ¿Qué es un Boot Sector Virus y cómo prevenir o eliminarlos?