Buzz
Để bảo vệ dữ liệu trên máy tính, việc mã hóa ổ cứng là bước quan trọng. Điều này giúp đảm bảo an toàn cho dữ liệu ngay cả khi máy tính bị mất hoặc bị đánh cắp.
Các nhà nghiên cứu tại F-Secure mới đây đã phát hiện ra một cuộc tấn công sử dụng kỹ thuật có tuổi đời cả thập kỷ để tìm ra khóa bảo mật, cho phép hacker giải mã dữ liệu của bạn. Kỹ thuật này hoạt động trên hầu hết các máy tính hiện nay.
Cuộc tấn công này sử dụng phương pháp 'cold boot' để thu thập dữ liệu trước khi máy tính tắt hoàn toàn. Mặc dù các hệ điều hành và nhà sản xuất chip máy tính đã cung cấp giải pháp để ngăn chặn tấn công cold boot từ 10 năm trước, nhưng các nhà nghiên cứu của F-Secure đã tìm ra cách vượt qua các biện pháp này.
Mặc dù các giải pháp ngăn chặn tấn công cold boot trên máy tính hiện đại đã làm cho cuộc tấn công này khó khăn hơn, nhưng với một kẻ tấn công có kế hoạch, hay một người tò mò và có thời gian rảnh rỗi, thì việc giải mã máy tính bị thất lạc hoặc bị đánh cắp vẫn là một phương pháp hiệu quả.
'Nếu có thể tiếp cận máy tính mà không có sự giám sát, cuộc tấn công này sẽ là một cách rất hiệu quả để trích xuất dữ liệu từ bộ nhớ máy tính' - Olle Segerdahl, chuyên gia tư vấn bảo mật tại F-Secure cho biết - 'Chúng tôi đã thử nghiệm nó trên nhiều máy tính của nhiều hãng khác nhau, và phát hiện ra rằng nó là phương pháp hiệu quả và có khả năng thành công cao. Mặc dù phức tạp một chút, nhưng nó có thể thực hiện được với kiến thức cơ bản về hacker. Điều này không phải là một thách thức lớn về mặt kỹ thuật'.
Segerdahl nhấn mạnh rằng các phát hiện này chủ yếu liên quan đến các tổ chức quản lý nhiều máy tính, và có thể gây ra sự xâm nhập vào hệ thống mạng toàn bộ chỉ vì một chiếc laptop bị thất lạc hoặc bị đánh cắp.
Để thực hiện cuộc tấn công, nhóm nghiên cứu F-Secure phải tìm ra cách vượt qua cơ chế bảo vệ cold boot tiêu chuẩn của ngành công nghiệp. Cơ chế này hoạt động bằng cách thực hiện một kiểm tra đơn giản giữa hệ điều hành và firmware của máy tính - một bộ mã cơ bản hướng dẫn phần cứng và phần mềm cho các hoạt động như khởi động ban đầu của máy. Hệ điều hành đánh dấu hoặc gắn cờ báo hiệu rằng nó lưu trữ dữ liệu bí mật trong bộ nhớ máy, và khi máy tính khởi động, firmware của máy sẽ kiểm tra cờ đó. Nếu máy tính tắt theo cách thông thường, hệ điều hành sẽ xóa dữ liệu cùng với cờ. Nhưng nếu firmware phát hiện cờ vẫn tồn tại trong quá trình khởi động, nó sẽ loại bỏ dữ liệu trước khi bất cứ điều gì có thể xảy ra.
Nhìn vào cách thức tiến hành nhiệm vụ này, nhóm nghiên cứu đã nhận ra vấn đề ngay lập tức. Nếu họ mở máy tính ra và trực tiếp kết nối với chip dùng để chạy firmware và gắn cờ, họ có thể tương tác với nó và loại bỏ cờ. Điều này khiến máy tính nghĩ rằng nó đã tắt bình thường và hệ điều hành đã xóa dữ liệu, bởi vì cờ không còn tồn tại nữa, trong khi thực tế các dữ liệu nhạy cảm vẫn còn.
Vậy là nhóm nghiên cứu đã phát triển một mạch điều khiển đơn giản và một chương trình có thể kết nối với chip firmware và kiểm soát việc gắn cờ. Từ đó, một kẻ tấn công có thể tiếp tục thực hiện kỹ thuật tấn công cold boot chuẩn. Mặc dù mọi thứ có thể được lưu trữ trong bộ nhớ khi máy tính đang nghỉ, Segerdahl nhấn mạnh rằng một kẻ tấn công có thể chắc chắn rằng các khóa giải mã của thiết bị sẽ là một trong số đó nếu màn hình máy tính hiển thị màn hình khóa - chờ người dùng nhập mật khẩu để kiểm tra xem họ đã nhập đúng mật khẩu được lưu trong bộ nhớ hay không.
Cách phòng chống kỹ thuật tấn công Cold Boot
Do các mối đe dọa từ loại tấn công này, Segerdahl khuyên các tổ chức nên theo dõi kỹ lưỡng mọi thiết bị của mình để có thể hành động nếu một trong số chúng bị mất hoặc bị đánh cắp. Dù tổ chức đó có lớn đến đâu, thì các quản trị viên IT cũng cần có khả năng thu hồi các thông tin xác thực VPN, các chứng chỉ Wi-Fi, và các hình thức xác thực khác cho phép các thiết bị truy xuất vào toàn bộ mạng lưới, nhằm giảm thiểu khả năng sụp hệ thống nếu thiết bị mất tích đã bị can thiệp. Một giải pháp bảo vệ tiềm năng khác là thiết lập các máy tính tự động tắt khi chúng ở trạng thái nghỉ thay vì chỉ chuyển sang chế độ ngủ, và sau đó sử dụng một công cụ mã hóa ổ đĩa - như Microsoft BitLocker - để yêu cầu một mã PIN bổ sung khi máy tính được bật lên, trước khi hệ điều hành thực sự khởi động. Với cách này, bộ nhớ máy sẽ không có gì để bị đánh cắp.
Nếu bạn lo ngại về việc máy tính bị can thiệp khi bạn không có mặt, các công cụ giám sát tương tác vật lý với thiết bị - như ứng dụng di động Haven và ứng dụng Do Not Disturb dành cho Mac - có thể thông báo cho bạn về mọi hành vi truy xuất đến thiết bị về mặt vật lý. Những hành vi xâm phạm như kỹ thuật cold boot thường được gọi là 'tấn công nàng hầu độc ác'.
Các nhà nghiên cứu đã thông báo với Microsoft, Apple và Intel về các phát hiện của họ. Microsoft đã phát hành một bản cập nhật hướng dẫn sử dụng BitLocker để giải quyết vấn đề. 'Kỹ thuật này đòi hỏi truy cập vật lý vào thiết bị. Để bảo vệ thông tin nhạy cảm, chúng tôi khuyến nghị sử dụng một thiết bị với một Trusted Platform Module (TPM), tắt chế độ sleep/hibernation và cấu hình BitLocker với một Personal Identification Number' - Jeff Jones, một giám đốc tại Microsoft nói.
Segerdahl cho biết, ông vẫn chưa tìm ra phương pháp nào có thể giải quyết vấn đề lớn này một cách nhanh chóng. Các điều chỉnh hệ điều hành và cập nhật firmware có thể cải thiện hiệu suất của quá trình kiểm tra cờ, nhưng vì kẻ tấn công đã can thiệp và thay đổi firmware trong quá trình tấn công, họ có thể đơn giản là hạ cấp firmware đã được cập nhật về phiên bản cũ. Những giải pháp giảm nhẹ về lâu dài đòi hỏi những thay đổi về mặt thiết kế vật lý, làm cho việc can thiệp vào quá trình kiểm tra cờ trở nên khó khăn hơn.
Apple đã phát triển một giải pháp tương tự thông qua con chip T2 trên các iMac mới. Phương pháp của họ là tách biệt những quá trình quan trọng, đưa chúng vào một con chip riêng biệt, an toàn, không liên quan đến các vi xử lý chính chạy firmware chung và hệ điều hành. Segerdahl cho biết rằng mặc dù kỹ thuật cold boot tái sinh này hoạt động trên hầu như mọi máy Mac, chip T2 đã thành công trong việc chống lại nó. Một người phát ngôn của Apple còn gợi ý người dùng đặt mật khẩu cho firmware để ngăn chặn truy cập trái phép, và công ty đang nghiên cứu các phương thức bảo vệ cho các máy Mac không có chip T2. Intel từ chối phát biểu về vấn đề này.
'Chỉ có thể khắc phục bằng cách cập nhật phần cứng' - Kenn White, giám đốc Open Crypto Audit Project, một người không liên quan đến nghiên cứu, nói - 'Truy cập vật lý là một trò chơi rất phức tạp. Tin tốt là 99,9% kẻ trộm thường chỉ bán thiết bị đánh cắp cho người khác, sau đó họ sẽ cài đặt lại hệ điều hành và xóa sạch dữ liệu của bạn'.
Đối với các tổ chức lưu trữ dữ liệu quan trọng hoặc các cá nhân sở hữu thông tin nhạy cảm, nguy cơ này sẽ vẫn tồn tại trên hầu hết các máy tính trong nhiều năm tới.
Tham khảo: Wired
