Angriffe auch auf ausgeschaltete Rechner möglich

Durch Kühlung der Module, beispielsweise mit einem handelsüblichen Spray zur Staubentfernung und Reinigung von IT-Komponenten, sei die Zeitspanne laut Appelbaum noch deutlich zu verlängern. Relevant ist eine solche Attacke beispielsweise dann, wenn Festplattenverschlüsselung zum Einsatz kommt oder Web-Server mit RSA-Verschlüsselung arbeiten. In beiden Fällen legen Betriebssystem und Anwendung im Betrieb die notwendigen Kryptoschlüssel im Hauptspeicher ab. Durch Analyse des Speicherinhalts lassen sich laut Appelbaum gängige Verschlüsselungsprogramme wie Microsofts Bit Locker, die Open-Source-Software TrueCrypt, das Linux-Programm dm-crypt oder Apples File Vault für Mac OS X aushebeln. Mit Hilfe einer speziellen Software können die Keys anhand leicht zu erkennender Signaturen auch dann rekonstruiert werden, wenn lediglich 30 Prozent der Inhalte intakt sind.

Bei einer Cold Boot Attacke bringen Datendiebe das laufende System zum Absturz, starten es neu oder bauen die Speicherriegel in einen anderen Rechner ein und extrahiert dann den RAM-Inhalt. Die Attacke lässt sich auch aus der Ferne umsetzen, wenn das System nach dem Absturz per Netzwerkboot mit einem Boot-Image versorgt wird, das die Software zum Auslesen des Speichers mitbringt. Den Inhalt des Hauptspeichers kann das Tool dann an das komplette Intranet schicken. Hierdurch würde das Entdecken des Lauschers erheblich erschwert, da es keine Punkt-zu-Punkt-Verbindung zwischen Opfer und Angreifer gibt.