Cold Boot Attack – jak funguje a proč stále představuje reálnou hrozbu?

Nyní, když nás obklopují pokročilé kryptografické zabezpečení, vícefaktorové ověřování a šifrování disků, mohlo by se zdát, že fyzický přístup k počítači již nepředstavuje reálnou hrozbu pro důvěrnost dat. A přesto existuje technika, která dokáže obejít i nejlépe chráněné systémy. Je to útok typu cold boot, známý také jako útok studeného startu. Ačkoli byl objeven před více než dekádou, stále vzbuzuje obavy odborníků na kybernetickou bezpečnost, protože ukazuje, jak malá mezera v logice fungování paměti RAM se může stát zadními vrátky k dešifrování klíčů, hesel nebo dat uživatelů. Proč tento druh útoku stále funguje navzdory technologickému pokroku?

Co je útok typu cold boot?

Útok typu cold boot (angl. cold boot attack, česky také: útok studeného startu) je technika obnovy dat z operační paměti počítače (RAM), která využívá fyzické vlastnosti této paměti – konkrétně fakt, že data uložená v RAM nezmizí okamžitě po odpojení napájení. Jak je to možné? Navzdory všeobecnému přesvědčení paměť RAM neztrácí svůj obsah v okamžiku vypnutí počítače. Její data „hasnou" postupně – mohou se udržet několik až několik desítek sekund, a při nízké teplotě (např. po ochlazení paměťových modulů kapalným dusíkem nebo chladicím sprejem) dokonce několik minut. To je tzv. efekt remanence (data remanence), který umožňuje fyzickou obnovu informací nacházejících se v RAM – i když byl systém předtím vypnut.

Útok studeného startu – je nebezpečný?

Cold boot attack je nebezpečný, protože obchází logickou vrstvu zabezpečení – neláme hesla ani šifrování „tradičními" metodami. Místo toho využívá fakt, že počítač v daném okamžiku musí uchovávat např. šifrovací klíče v RAM, aby byla možná práce systému. Pokud útočník získá fyzický přístup k zařízení – i na pouhých pár sekund – může získat informace, které by teoreticky měly být nedostupné.

Navzdory vývoji zabezpečení cold boot attack stále funguje, protože je založen na fyzických vlastnostech paměti RAM, které zůstávají neměnné. Data v RAM nezmizí okamžitě po odpojení napájení – mohou se udržet několik, nebo dokonce několik desítek sekund, zejména po ochlazení. V této krátké době je možné je obnovit, např. šifrovací klíče, hesla nebo informace o relaci.

Fungují útoky typu cold boot stále?

Ano, útoky typu cold boot stále mohou fungovat, ačkoli jejich účinnost je dnes výrazně nižší než před více než dekádou. Stále však jsou založeny na stejném mechanismu – data v paměti RAM nezmizí okamžitě po odpojení napájení. Pokud někdo získá fyzický přístup k počítači, může ochladit moduly RAM a rychle spustit systém z externího nosiče, aby přečetl zbytky dat, jako jsou šifrovací klíče nebo hesla.

Moderní počítače a operační systémy stále častěji používají technologie, které ztěžují provedení takového útoku – např. šifrování paměti RAM, moduly TPM nebo bezpečný start. Přesto cold boot attack stále zůstává reálnou hrozbou, zejména v případě krádeže nebo neautorizovaného fyzického přístupu k zařízení. Proto v prostředích se zvýšeným rizikem – jako jsou firmy, vládní instituce nebo armáda – se tento typ útoku stále bere vážně.

Podívejte se také na populární příspěvek na blogu Sapsan: jak zkontrolovat, zda se vaše data dostala do nepovolaných rukou?

Co znamená cold booting?

Cold booting znamená spuštění počítače po úplném odpojení napájení, tedy z tzv. „studeného stavu". Na rozdíl od warm boot (měkkého restartu, např. přes Ctrl+Alt+Del), cold boot nastává tehdy, když byl počítač úplně vypnutý – např. po odpojení proudu, vyjmutí baterie nebo fyzickém restartu.

V praxi cold booting znamená plný startovací cyklus počítače: od napájení součástek, přes inicializaci BIOS/UEFI, až po načtení operačního systému. Právě tento okamžik je využíván při útoku typu cold boot, protože obsah paměti RAM může ještě chvíli „přežít" – i po vypnutí počítače – a být přečten hned po opětovném spuštění.

Ve zkratce:

• Cold booting je plné spuštění počítače „od nuly"

• Cold boot attack je využití této chvíle k přečtení dat z paměti RAM, než budou smazána.

Pokud vás zajímá tematika kybernetické bezpečnosti a záleží vám na komplexním přístupu k bezpečnosti dat, seznamte se s nabídkou obchodu Sapsan.

Jak je možné, že data „zůstávají" v paměti RAM – a co s tím má společného kapalný dusík?

Paměť RAM v počítači funguje jako dočasný poznámkový blok – uchovává data pouze po dobu fungování systému. Když vypnete počítač, blok je teoreticky vyhozen. Ale ne hned. Ve skutečnosti, když náhle odpojíte napájení, data v RAM nezmizí okamžitě. Elektronika funguje na principu elektrických nábojů – a ty potřebují chvíli, aby se úplně rozptýlily. Po několik, deset, a někdy dokonce několik desítek sekund jsou data stále přítomna. A tady přichází kapalný dusík nebo jiné chladicí prostředky (např. počítačový sprej). Čím nižší teplota paměti RAM, tím pomaleji zaniká v ní uložený náboj. Tedy: ochlazená paměť RAM „drží" data déle.

Osoba provádějící útok typu cold boot může:

1. Rychle odpojit napájení počítače (aby se data nestihla smazat).
   

2. Ochladit moduly RAM, např. pomocí kapalného dusíku (má -196°C!) nebo spreje.
   

3. Okamžitě spustit počítač z jiného nosiče (např. USB), aby přečetla zbytky dat, než zmizí.
   

Je to jako „zmrazit" okamžik – a v tomto okamžiku přečíst tajná hesla, šifrovací klíče nebo otevřené dokumenty, které byly uloženy v RAM, přestože byl počítač již vypnut.

Závěry

Útoky typu cold boot, ačkoli se zdají technicky složité, ukazují, jak důležitý je holistický přístup k bezpečnosti – zahrnující nejen logickou ochranu (jako hesla nebo šifrování disku), ale také zabezpečení fyzického přístupu k hardwaru. Moderní operační systémy a zařízení se stále účinněji chrání proti této hrozbě, ale pamatujme, že žádná technologie nenahradí povědomí uživatele!

Proto stojí za to pamatovat na základní zásady: šifrovat data, vypínat počítač místo uspávání, konfigurovat BIOS/UEFI a také chránit hardware před neautorizovaným fyzickým přístupem. Cold boot attack je příkladem toho, že i několik sekund nepozornosti může stačit k tomu, abyste ztratili data, která měla zůstat tajná. V éře mobility a práce na dálku by tato hrozba neměla být bagatelizována.