El ataque de arranque en frío es otro método utilizado para robar datos. Lo único especial es que tienen acceso directo al hardware de su computadora o a toda la computadora. Este artículo habla sobre lo que es el Ataque de Bota Fría y cómo mantenerse a salvo de tales técnicas.
Qué es el ataque de arranque en frío
En un ataque de arranque en frío o en un ataque de reinicio de plataforma , un atacante que tiene acceso físico al equipo realiza un reinicio en frío para reiniciar el equipo y recuperar las claves de cifrado del sistema operativo Windows
.
Nos enseñaron en las escuelas que la memoria RAM (Random Access Memory) es volátil y no puede contener datos si la computadora está apagada. Lo que deberían habernos dicho debería haber sido… no puede retener datos por mucho tiempo si el ordenador está apagado . Esto significa que la RAM todavía retiene los datos de unos pocos segundos a unos pocos minutos antes de que se desvanezcan debido a la falta de suministro eléctrico. Para un período ultrapequeño, cualquier persona con las herramientas adecuadas puede leer la memoria RAM y copiar su contenido a un almacenamiento seguro y permanente utilizando un sistema operativo ligero diferente en un lápiz USB o una tarjeta SD. Este tipo de ataque se denomina ataque de arranque en frío.
Imagínate un ordenador desatendido en alguna organización durante unos minutos. Cualquier hacker sólo tiene que poner sus herramientas en su sitio y apagar el ordenador. A medida que la RAM se enfría (los datos se desvanecen lentamente), el hacker conecta una memoria USB de arranque y arranca a través de ella. Él o ella puede copiar el contenido en algo como la misma memoria USB.
Dado que la naturaleza del ataque es apagar el equipo y luego utilizar el interruptor de encendido para reiniciarlo, se denomina arranque en frío. Es posible que haya aprendido sobre el arranque en frío y en caliente en sus primeros años de computación. Arranque en frío es cuando se inicia un equipo utilizando el interruptor de encendido. Un arranque en caliente es cuando se utiliza la opción de reiniciar un equipo mediante la opción de reinicio del menú de apagado.
Congelación de la RAM
Este es otro truco más de los hackers. Pueden simplemente rociar alguna sustancia (por ejemplo: Nitrógeno Líquido) en los módulos RAM para que se congelen inmediatamente. Cuanto más baja sea la temperatura, más tiempo podrá mantener la información la RAM. Usando este truco, ellos (los hackers) pueden completar con éxito un ataque de arranque en frío y copiar los datos máximos. Para acelerar el proceso, utilizan archivos de ejecución automática en el ligero sistema operativo de los lápices USB o tarjetas SD que se inician poco después de apagar el ordenador que se está pirateando.
Pasos en un ataque de arranque en frío
No necesariamente todo el mundo utiliza estilos de ataque similares a los que se indican a continuación. Sin embargo, la mayoría de los pasos comunes se enumeran a continuación.
- Cambie la información de la BIOS para permitir el arranque desde USB primero
- Inserte un USB de arranque en el ordenador en cuestión
- Apague el ordenador por la fuerza para que el procesador no tenga tiempo de desmontar las claves de cifrado u otros datos importantes; sepa que un apagado correcto puede ser de gran ayuda, pero puede no tener el mismo éxito que un apagado forzado pulsando la tecla de encendido u otros métodos.
- Tan pronto como sea posible, utilice el interruptor de encendido para arrancar en frío el equipo que está siendo pirateado
- Desde que se cambió la configuración de la BIOS, se carga el sistema operativo de una memoria USB
- Incluso mientras se carga este sistema operativo, ejecutan automáticamente los procesos para extraer los datos almacenados en la memoria RAM.
- Apague el ordenador después de comprobar el almacenamiento de destino (donde se almacenan los datos robados), extraiga el USB OS Stick y váyase
.
.
Qué información está en riesgo en ataques de arranque en frío
La información y los datos más comunes en riesgo son las claves y contraseñas de cifrado de disco. Normalmente, el objetivo de un ataque de arranque en frío es recuperar claves de cifrado de disco de forma ilegal, sin autorización.
Las últimas cosas que ocurren cuando en un apagado apropiado son desmontar los discos y usar las claves de encriptación para encriptarlos, de modo que es posible que si un equipo se apaga abruptamente, los datos todavía estén disponibles para ellos.
Cómo protegerse de un ataque de arranque en frío
A nivel personal, sólo puede asegurarse de permanecer cerca de su ordenador hasta al menos 5 minutos después de apagarlo. Además, una precaución es apagar el equipo correctamente mediante el menú de apagado, en lugar de tirar del cable eléctrico o utilizar el botón de encendido para apagar el equipo.
No se puede hacer mucho porque no es un problema de software en gran medida. Está más relacionado con el hardware. Por lo tanto, los fabricantes de equipos deben tomar la iniciativa de eliminar todos los datos de la memoria RAM tan pronto como sea posible después de apagar el ordenador para evitar y protegerlo de un ataque de arranque en frío.
Algunos equipos sobrescriben ahora la memoria RAM antes de apagarse por completo. Sin embargo, siempre existe la posibilidad de un cierre forzado.
La técnica utilizada por BitLocker es utilizar un PIN para acceder a la RAM. Incluso si el ordenador ha estado en estado de hibernación (un estado de apagado del ordenador), cuando el usuario lo despierta e intenta acceder a cualquier cosa, primero tiene que introducir un PIN para acceder a la RAM. Este método tampoco es infalible, ya que los hackers pueden obtener el PIN utilizando uno de los métodos de Phishing o Ingeniería Social.
Resumen
Lo anterior explica qué es un ataque de arranque en frío y cómo funciona. Hay algunas restricciones por las que no se puede ofrecer el 100% de seguridad contra un ataque de arranque en frío. Pero hasta donde yo sé, las compañías de seguridad están trabajando para encontrar una solución mejor que simplemente reescribir la RAM o usar un PIN para proteger el contenido de la RAM.
