Qu'est-ce qu'une explication d'attaque de démarrage à froid et rester en sécurité
Attaque de démarrage à froid est encore une autre méthode utilisée pour voler des données. La seule chose spéciale est qu'ils ont un accès direct à votre matériel informatique ou à l'ordinateur entier. Cet article traite de ce qu'est Cold Boot Attack et de la protection contre de telles techniques..
Qu'est-ce que Cold Boot Attack?
Dans un Attaque de démarrage à froid ou un Plateforme Réinitialiser Attaque, un attaquant ayant un accès physique à votre ordinateur procède à un redémarrage à froid pour redémarrer la machine afin de récupérer les clés de cryptage du système d'exploitation Windows
Ils nous ont appris dans les écoles que la RAM (Random Access Memory) est volatile et ne peut pas contenir de données si l'ordinateur est éteint. Ce qu'ils auraient dû nous dire aurait dû être… ne peut pas conserver les données longtemps si l'ordinateur est éteint. Cela signifie que la RAM conserve des données de quelques secondes à quelques minutes avant de s’effacer par manque d’alimentation en électricité. Pendant une très courte période, toute personne disposant des outils appropriés peut lire la RAM et copier son contenu dans un stockage sûr et permanent en utilisant un système d'exploitation léger différent, sur une clé USB ou une carte SD. Une telle attaque est appelée attaque de démarrage à froid.
Imaginez un ordinateur sans surveillance dans une organisation pendant quelques minutes. Tout pirate informatique doit juste mettre ses outils en place et éteindre son ordinateur. Lorsque la RAM se refroidit (les données s'effacent lentement), le pirate informatique branche une clé USB amorçable et démarre via celle-ci. Il ou elle peut copier le contenu dans quelque chose comme la même clé USB.
Étant donné que la nature de l'attaque consiste à éteindre l'ordinateur puis à utiliser le commutateur d'alimentation pour le redémarrer, on parle de démarrage à froid. Vous avez peut-être entendu parler du démarrage à froid et du démarrage à chaud au cours de vos premières années informatiques. Le démarrage à froid est l'endroit où vous démarrez un ordinateur à l'aide de l'interrupteur d'alimentation. Un démarrage à chaud consiste à utiliser l'option de redémarrage d'un ordinateur à l'aide de l'option de redémarrage dans le menu d'arrêt..
Geler la RAM
Ceci est encore un autre tour sur les manches des pirates. Ils peuvent simplement pulvériser une substance (exemple: azote liquide) sur les modules de RAM afin qu'ils gèlent immédiatement. Plus la température est basse, plus la RAM peut contenir des informations. En utilisant cette astuce, ils (pirates informatiques) peuvent mener à bien une attaque au démarrage à froid et copier un maximum de données. Pour accélérer le processus, ils utilisent des fichiers autorun sur le système d’exploitation léger sur des clés USB ou des cartes SD qui sont démarrées peu de temps après l’arrêt de l’ordinateur piraté..
Étapes d'une attaque de démarrage à froid
Tout le monde n'utilise pas nécessairement des styles d'attaque similaires à ceux donnés ci-dessous. Cependant, la plupart des étapes courantes sont énumérées ci-dessous..
- Modifiez les informations du BIOS pour autoriser le démarrage à partir d'un port USB en premier
- Insérez une clé USB amorçable dans l'ordinateur en question
- Éteignez de force l'ordinateur pour que le processeur n'ait pas le temps de démonter les clés de chiffrement ou autres données importantes. Sachez qu'un bon arrêt peut aussi aider, mais peut ne pas être aussi efficace qu'un arrêt forcé en appuyant sur la touche d'alimentation ou par d'autres méthodes.
- Dès que possible, utilisez le commutateur d'alimentation pour démarrer à froid l'ordinateur piraté
- Depuis que les paramètres du BIOS ont été modifiés, le système d'exploitation d'une clé USB est chargé.
- Alors que ce système d’exploitation est en cours de chargement, ils exécutent automatiquement les processus pour extraire les données stockées dans la RAM.
- Éteignez à nouveau l'ordinateur après avoir vérifié le stockage de destination (où sont stockées les données volées), retirez la clé USB, puis quittez l'ordinateur.
Quelles informations sont à risque lors d'attaques de démarrage à froid
Les informations / données les plus courantes sont les clés de cryptage de disque et les mots de passe. En règle générale, le but d’une attaque par démarrage à froid est de récupérer des clés de chiffrement de disque illégalement, sans autorisation..
Les dernières choses qui se passent lors d’un arrêt correct sont le démontage des disques et l’utilisation des clés de chiffrement pour les chiffrer. Il est donc possible que, si un ordinateur est mis hors tension brusquement, les données restent disponibles pour eux..
Sécuriser contre Cold Boot Attack
Au niveau personnel, vous ne pouvez vous assurer que vous restez près de votre ordinateur au moins 5 minutes après sa mise hors tension. De plus, une précaution consiste à éteindre correctement l'ordinateur à l'aide du menu d'arrêt, au lieu de tirer le cordon d'alimentation ou d'utiliser le bouton d'alimentation pour éteindre l'ordinateur..
Vous ne pouvez pas faire grand chose car ce n’est pas un problème logiciel en grande partie. C'est plus lié au matériel. Les fabricants d’équipements doivent donc prendre l’initiative de supprimer toutes les données de la RAM dès que possible après la mise hors tension d’un ordinateur afin de vous protéger et de vous protéger contre les attaques de démarrage à froid..
Certains ordinateurs écrasent maintenant la RAM avant d’être complètement arrêtés. Pourtant, la possibilité d'un arrêt forcé est toujours là.
La technique utilisée par BitLocker consiste à utiliser un code PIN pour accéder à la RAM. Même si l’ordinateur a été mis en veille prolongée (état de l’éteindre), lorsque l’utilisateur le réveille et tente d’accéder à quoi que ce soit, il doit d’abord entrer un code PIN pour accéder à la RAM. Cette méthode n’est également pas infaillible car les pirates peuvent obtenir le code PIN en utilisant l’une des méthodes de phishing ou d’ingénierie sociale..
