Buzz
Để sử dụng kỹ thuật này, ta cần tận dụng tính chất của một thanh RAM, trong trường hợp này là DRAM
Thường, theo định nghĩa RAM (Random Access Memory) là bộ nhớ lưu trữ tạm thời của thiết bị. Khi điện thoại, máy tính hoạt động, CPU truy cập dữ liệu từ ổ đĩa và lưu trữ dữ liệu tạm thời trên RAM. Các ứng dụng hệ thống như trình duyệt chạy nền... Điều này cũng đồng nghĩa với việc nếu thiết bị mất điện bất ngờ, dữ liệu lưu trữ trên RAM sẽ biến mất, gây rủi ro cho công việc.
Vậy làm thế nào để khôi phục dữ liệu từ một thanh RAM sau khi nó bị tắt để làm việc trở lại?
Câu trả lời là có, với một kỹ thuật gọi là tấn công khởi động lạnh (cold boot attack), thường được sử dụng trong lĩnh vực pháp y, để khôi phục dữ liệu và thực hiện các hoạt động hack không đúng.
Để sử dụng kỹ thuật này, ta cần tận dụng tính chất của một thanh RAM, trong trường hợp này là DRAM - một loại RAM không mất dữ liệu ngay lập tức khi mất nguồn nhưng sẽ mất dần theo thời gian.
Phương pháp này được gọi là Cuộc tấn công lạnh vào RAM.
Theo lý thuyết, thanh DRAM càng lạnh thì thời gian để nó giải phóng hoàn toàn điện càng lâu, do thời gian phóng điện tỷ lệ nghịch với nhiệt độ.
Trong điều kiện nhiệt độ phòng, thời gian để giải phóng điện thường chỉ vài mili-giây, nhưng ở nhiệt độ dưới -50 độ C, thời gian này có thể kéo dài tới hàng chục giây, đặc biệt khi sử dụng ni tơ lỏng để làm lạnh.
Khi một thanh DRAM được làm lạnh, dữ liệu trên đó trở nên dễ bị đánh cắp hơn.
Với khoảng thời gian này, kỹ sư có đủ thời gian để tháo thanh DRAM ra khỏi bo mạch chủ, đặt vào máy tính khác và đọc dữ liệu thông qua phần mềm đọc dữ liệu từ RAM.
Kỹ thuật này cũng có thể được sử dụng để tấn công các thiết bị di động như điện thoại Android. Bằng cách sử dụng kỹ thuật khởi động lạnh, dữ liệu từ RAM có thể được truy cập thông qua cổng USB khi điện thoại được kết nối với máy tính.
Một hình ảnh trên RAM sau 0, 0.5, 1, 2 và 4 giây.
Do bản chất của hệ điều hành Android, điện thoại thường xóa mã hóa khỏi RAM khi bị khóa, ngăn chặn khả năng thu thập mã từ bộ nhớ, ngay cả khi bị tấn công lạnh.
Để đối phó với kỹ thuật này, chúng ta có những biện pháp nào?
Mặc dù một số máy tính doanh nghiệp không thể nâng cấp RAM, điều này là lợi thế nếu bạn muốn bảo vệ dữ liệu quan trọng nếu máy tính bị mất trong quá trình sử dụng.
Phương pháp đơn giản nhất là chọn mua máy tính có RAM được hàn trực tiếp vào bo mạch chủ, không thể tháo ra được, từ đó ngăn chặn kẻ tấn công có khả năng truy cập. Một cách khác mà các công ty thường sử dụng là mã hóa toàn bộ bộ nhớ, tuy yêu cầu sự thay đổi từ hệ điều hành, phần mềm và phần cứng. Một ví dụ điển hình về việc mã hóa toàn bộ bộ nhớ là máy chơi game Xbox của Microsoft với mã hóa phần cứng. Cuối cùng, chúng ta có 'SEOM', hoặc Secure Erasure Of Memory - Xóa bộ nhớ an toàn khi máy tính không được sử dụng, đặc biệt là khi máy bị tắt một cách đột ngột (hacker cố gắng reset toàn bộ), đòi hỏi BIOS phải xóa hết bộ nhớ trong quá trình POST (Power-on-self-test, một hình thức kiểm tra máy tính khi bật lên).
Theo Quora
