Kalt-Start-Angriff oder Cold Boot Attacks
Ein doch schon recht erfolgreicher Angriff auf jegliche Schlüssel die im RAM eines PCs gespeichert werden können ist der so genannte “Cold Boot Attack“. Hierbei handelt es sich um einen Angriff der nur durchgeführt werden kann wenn man physischen Zugriff auf den Rechner hat. Das bedeutet das Notebook steht irgendwo unbemerkt rum, oder es ist im Standby. Das gefährliche an solch einer Situation ist, der Angreifer hat eine gewisse Chance einen relevanten Teil des RAMs zu kopieren. Im ersten Schritt wird dem Rechner der Stom entzogen und zwar ohne Vorankündigung. Hier eignet sich eine schnelle Demontage des Akkus. Nachdem das erledigt ist, muß der Rechner sofort neu gestartet werden. In der Zwischenzeit bootet der Rechner im Optimalfall von der zuvor angebrachten USB Platte oder ähnlichem. Das Mini Betriebssystem sollte dabei recht winzig sein, um nicht zu viele Blöcke im RAM zu überschreiben. Ein automatischer Dump der verbliebenen Blöcke geht dann direkt auf die USB-HDD. Auch nach 2-3 Minuten sind noch durchaus nutzbare Daten wie z.b. Schlüssel von Truecrypt Containern oder GPG Schlüssel zu finden. Ein wenig schwerer wird es, wenn man im Bios den “quick start” deaktiviert, das booten von fremden Geräten unterbindet und BIOS/SYSTEM Passwörter vergibt. Leider ist das auch nicht 100% sicher, da es gegen echte Cold Boot Attacks keinen wirklichen Schutz gibt, da bei zügigen abkühlen des RAMs durch Kältespray die Riegel für mehere Stunden “konserviert” bleiben, und sie recht einfach in einem vorbereitetem Backupnotebook ausgelesen werden können. Also immer daran Denken, vor dem öffnen der Tür den Rechner runter fahren 😉