Buzz
Nếu bạn muốn bảo vệ dữ liệu trên máy tính của mình, một trong những bước quan trọng nhất bạn có thể thực hiện là mã hóa ổ cứng của nó. Như vậy, nếu laptop của bạn bị mất hoặc bị đánh cắp—hoặc có người tiếp cận khi bạn không có mặt—mọi thứ vẫn được bảo vệ và không thể truy cập. Nhưng các nhà nghiên cứu tại công ty an ninh F-Secure đã phát hiện một cuộc tấn công sử dụng một kỹ thuật có 10 năm tuổi, mà những người bảo vệ nghĩ họ đã ngăn chặn, để tiết lộ những khóa mã hóa đó, cho phép hacker giải mã dữ liệu của bạn. Tệ hơn nữa, nó hoạt động trên gần như mọi máy tính.
Để có được các khóa, cuộc tấn công sử dụng một phương pháp được biết đến gọi là "cold boot," trong đó hacker tắt một máy tính một cách không đúng cách—ví dụ, bằng cách rút phích cắm ra—khởi động lại nó, sau đó sử dụng một công cụ như mã độc trên USB để nhanh chóng lấy dữ liệu đã được lưu trong bộ nhớ của máy tính trước khi mất điện. Hệ điều hành và nhà sản xuất chip đã thêm các biện pháp chống lại các cuộc tấn công cold boot từ 10 năm trước, nhưng các nhà nghiên cứu của F-Secure đã tìm ra cách để khôi phục chúng từ bóng tối.
Trong Ký Ức Gần Đây
Các biện pháp giảm thiểu cold boot trên các máy tính hiện đại làm cho cuộc tấn công phức tạp hơn so với 10 năm trước, nhưng một cách đáng tin cậy để giải mã các máy tính bị mất hoặc bị đánh cắp sẽ rất có giá trị đối với một kẻ tấn công có động lực—hoặc một người có rất nhiều sự tò mò và thời gian rảnh rỗi.
"Nếu bạn có vài khoảnh khắc một mình với máy tính, cuộc tấn công là một cách rất đáng tin cậy để trích xuất bí mật từ bộ nhớ," nói Olle Segerdahl, chuyên viên an ninh chính tại F-Secure. "Chúng tôi đã thử nghiệm nó trên nhiều loại máy tính khác nhau và nhận thấy rằng cuộc tấn công rất hiệu quả và đáng tin cậy. Nó hơi xâm nhập vì nó liên quan đến việc mở case và kết nối một số dây, nhưng nó khá nhanh chóng và hoàn toàn có thể với một hacker có kiến thức. Nó không quá khó khăn về mặt kỹ thuật."
Segerdahl chú ý rằng những phát hiện này có ý nghĩa đặc biệt đối với các công ty và tổ chức quản lý một lượng lớn máy tính, và có thể khiến toàn bộ mạng của họ bị đe dọa chỉ từ một laptop bị mất hoặc bị đánh cắp.
Để thực hiện cuộc tấn công, các nhà nghiên cứu của F-Secure đầu tiên tìm cách để vượt qua biện pháp giảm thiểu cold boot tiêu chuẩn ngành công nghiệp. Bảo vệ hoạt động bằng cách tạo ra một kiểm tra đơn giản giữa hệ điều hành và firmware của máy tính, mã code cơ bản điều chỉnh phần cứng và phần mềm cho việc như khởi động. Hệ điều hành thiết lập một loại cờ hoặc đánh dấu chỉ ra rằng nó có dữ liệu bí mật được lưu trong bộ nhớ của nó, và khi máy tính khởi động, firmware của nó kiểm tra cờ đó. Nếu máy tính tắt nguồn bình thường, hệ điều hành sẽ xóa dữ liệu và cờ đó đi cùng. Nhưng nếu firmware phát hiện cờ trong quá trình khởi động, nó sẽ tiến hành xóa bộ nhớ trước khi bất cứ điều gì khác có thể xảy ra.
Nhìn vào cách sắp xếp này, các nhà nghiên cứu nhận ra một vấn đề. Nếu họ mở vật lý một máy tính và kết nối trực tiếp vào chip chạy firmware và cờ, họ có thể tương tác với nó và xóa cờ đó. Điều này làm cho máy tính nghĩ rằng nó đã tắt nguồn đúng cách và rằng hệ điều hành đã xóa bộ nhớ, vì cờ đã biến mất, trong khi thực tế có thể dữ liệu nhạy cảm vẫn còn đó.
Vì vậy, các nhà nghiên cứu đã thiết kế một vi điều khiển nhỏ và chương trình tương tác với chip chứa firmware và cờ. Từ đó, một kẻ tấn công có thể tiến hành một cuộc tấn công cold boot tiêu chuẩn. Mặc dù bất kỳ dữ liệu nào cũng có thể được lưu trong bộ nhớ khi một máy tính không hoạt động, Segerdahl chú ý rằng một kẻ tấn công có thể chắc chắn rằng các khóa giải mã của thiết bị sẽ nằm trong đó nếu cô ấy đang đối diện với màn hình đăng nhập của một máy tính, nơi đó đang chờ kiểm tra bất kỳ đầu vào nào so với các đầu vào đúng.
Hồ Sơ Lạnh
Do vấn đề đe dọa từ loại tấn công này, Segerdahl nói rằng các tổ chức cần theo dõi cẩn thận tất cả các thiết bị của họ để họ có thể thực hiện hành động nếu có báo cáo một thiết bị bị mất hoặc bị đánh cắp. Bất kể tổ chức có lớn đến đâu, các quản lý IT cần có khả năng thu hồi các thông tin xác thực VPN, chứng chỉ Wi-Fi, và các công cụ xác thực khác để thiết bị không thể truy cập vào mạng đầy đủ để giảm thiểu hậu quả nếu một thiết bị bị mất bị chiếm đoạt. Một biện pháp bảo vệ tiềm năng khác liên quan đến việc đặt máy tính tự động tắt khi không hoạt động thay vì chuyển sang chế độ ngủ và sau đó sử dụng công cụ mã hóa ổ đĩa—như BitLocker của Microsoft—để yêu cầu một PIN bổ sung khi một máy tính được bật, trước khi hệ điều hành thực sự khởi động. Như vậy, không có gì trong bộ nhớ để lấy cắp.
Nếu bạn lo lắng về việc để lại máy tính của bạn không được giám sát, các công cụ giám sát tương tác vật lý với thiết bị—như ứng dụng di động Haven và ứng dụng Mac Do Not Disturb—có thể giúp thông báo cho bạn về việc truy cập vật lý không mong muốn vào một thiết bị. Các xâm nhập như kỹ thuật cold boot thường được gọi là các cuộc tấn công “evil maid”.
Các nhà nghiên cứu đã thông báo cho Microsoft, Apple và Intel về các phát hiện của họ. Microsoft đã phát hành hướng dẫn cập nhật về việc sử dụng BitLocker để giải quyết vấn đề. “Kỹ thuật này yêu cầu truy cập vật lý. Để bảo vệ thông tin nhạy cảm, tối thiểu, chúng tôi khuyến nghị sử dụng thiết bị với một Trusted Platform Module (TPM) riêng biệt, vô hiệu hóa chế độ ngủ/ngủ đông và cấu hình bitlocker với Mã Nhận Dạng Cá Nhân,” Jeff Jones, một giám đốc cấp cao tại Microsoft nói.
Segerdahl nói, tuy nhiên, ông không thấy có cách nhanh chóng để khắc phục vấn đề lớn hơn. Các điều chỉnh hệ điều hành và cập nhật firmware có thể làm cho quá trình kiểm tra cờ mạnh mẽ hơn, nhưng vì kẻ tấn công đã tiếp cận và can thiệp vào firmware như một phần của cuộc tấn công, họ có thể đơn giản là hạ cấp firmware đã được cập nhật trở lại phiên bản có lỗ hổng. Do đó, Segerdahl nói, các biện pháp giảm thiểu dài hạn yêu cầu các thay đổi thiết kế vật lý để làm cho việc can thiệp vào kiểm tra cờ trở nên khó khăn hơn đối với kẻ tấn công.
Apple đã tạo ra một giải pháp như vậy thông qua chip T2 trên các dòng iMac mới. Kế hoạch này tách biệt một số quy trình quan trọng trên một chip an toàn riêng biệt khỏi các bộ xử lý chính chạy firmware chung và hệ điều hành. Segerdahl nói rằng mặc dù cuộc tấn công cold boot được tái hiện này hoạt động trên hầu hết các Mac, chip T2 đã thành công trong việc đánh bại nó. Một người phát ngôn của Apple cũng đề xuất người dùng có thể thiết lập mật khẩu firmware để ngăn chặn truy cập không được ủy quyền, và công ty đang nghiên cứu cách bảo vệ các Mac không có T2. Intel từ chối bình luận trên hồ sơ.
"Vấn đề này chỉ có thể được sửa thông qua cập nhật phần cứng," Kenn White, giám đốc dự án Open Crypto Audit, người không tham gia vào nghiên cứu, nói. "Truy cập vật lý là một trò chơi liên tục giữa mèo và chuột. Tin vui cho hầu hết mọi người là 99,9% tên trộm chỉ bán thiết bị cho người khác sẽ cài đặt lại hệ điều hành và xóa dữ liệu của bạn."
Tuy nhiên, đối với các tổ chức có dữ liệu quý giá hoặc cá nhân mang thông tin nhạy cảm, nguy cơ sẽ tiếp tục tồn tại trên hầu hết các máy tính trong nhiều năm tới.
Các câu chuyện tuyệt vời khác từ Mytour
- The diplomatic couriers who deliver America's secret mail
- This popular Mac app was basically just spyware
- Silicon Valley wants to use algorithms for debt collection
- PHOTO ESSAY: The mission to count New York's whales
- Inside Puerto Rico's year of fighting for power
- Get even more of our inside scoops with our weekly Backchannel newsletter
