Rất có thể mã hóa cá nhân của bạn sẽ bị bỏ qua theo cách này, nhưng lỗ hổng này có thể được sử dụng cho gián điệp của công ty hoặc do chính phủ truy cập dữ liệu nghi ngờ nếu nghi ngờ từ chối tiết lộ khóa mã hóa.
Mã hóa toàn bộ hoạt động như thế nào
Cho dù bạn đang sử dụng BitLocker để mã hóa hệ thống tệp Windows, tính năng mã hóa tích hợp của Android để mã hóa bộ nhớ của điện thoại thông minh hoặc bất kỳ giải pháp mã hóa toàn đĩa nào khác, mỗi loại giải pháp mã hóa hoạt động tương tự.
Dữ liệu được lưu trữ trên bộ nhớ của thiết bị của bạn ở dạng được mã hóa, dường như bị tranh giành. Khi bạn khởi động máy tính hoặc điện thoại thông minh, bạn được nhắc nhập cụm mật khẩu mã hóa. Thiết bị của bạn lưu trữ khóa mã hóa trong bộ nhớ RAM và sử dụng nó để mã hóa và giải mã dữ liệu miễn là thiết bị của bạn vẫn bật nguồn.
Giả sử bạn có mật khẩu khóa màn hình được thiết lập trên thiết bị của mình và những kẻ tấn công không thể đoán được, họ sẽ phải khởi động lại thiết bị của bạn và khởi động từ một thiết bị khác (chẳng hạn như ổ flash USB) để truy cập dữ liệu của bạn. Tuy nhiên, khi thiết bị của bạn tắt nguồn, nội dung của RAM sẽ biến mất rất nhanh. Khi nội dung của RAM biến mất, khóa mã hóa bị mất và kẻ tấn công sẽ cần cụm mật khẩu mã hóa của bạn để giải mã dữ liệu của bạn.
Đây là cách mã hóa thường được giả định là hoạt động và đó là lý do tại sao các tập đoàn thông minh mã hóa máy tính xách tay và điện thoại thông minh với dữ liệu nhạy cảm trên đó.
Dữ liệu Remanence trong RAM
Như chúng tôi đã đề cập ở trên, dữ liệu biến mất khỏi RAM rất nhanh sau khi tắt máy tính và RAM mất điện. Kẻ tấn công có thể nhanh chóng khởi động lại máy tính xách tay được mã hóa, khởi động từ thanh USB và chạy một công cụ sao chép nội dung của RAM để giải nén khóa mã hóa. Tuy nhiên, điều này bình thường sẽ không hiệu quả. Nội dung của RAM sẽ biến mất trong vài giây và kẻ tấn công sẽ không may mắn.
Thời gian để dữ liệu biến mất khỏi RAM có thể được mở rộng đáng kể bằng cách làm mát RAM. Các nhà nghiên cứu đã thực hiện các cuộc tấn công thành công chống lại các máy tính bằng cách sử dụng mã hóa BitLocker của Microsoft bằng cách phun một không khí nén ngược lên RAM, đưa nó đến nhiệt độ thấp. Gần đây, các nhà nghiên cứu đã đặt một chiếc điện thoại Android trong tủ đông trong một giờ và sau đó có thể khôi phục khóa mã hóa từ RAM của nó sau khi thiết lập lại nó. (Trình tải khởi động cần được mở khóa cho cuộc tấn công này, nhưng về mặt lý thuyết có thể loại bỏ RAM của điện thoại và phân tích nó.)
Một khi các nội dung của RAM được sao chép, hoặc "đổ," vào một tập tin, họ có thể được tự động phân tích để xác định khóa mã hóa sẽ cấp quyền truy cập vào các tập tin được mã hóa.
Điều này được gọi là "tấn công khởi động lạnh" vì nó dựa trên truy cập vật lý vào máy tính để lấy các khóa mã hóa còn lại trong RAM của máy tính.
Làm thế nào để ngăn chặn tấn công Cold-Boot
Cách dễ nhất để ngăn chặn một cuộc tấn công lạnh khởi động là bằng cách đảm bảo rằng khóa mã hóa của bạn không có trong RAM của máy tính. Ví dụ: nếu bạn có một máy tính xách tay của công ty có đầy đủ dữ liệu nhạy cảm và bạn lo lắng rằng nó có thể bị đánh cắp, bạn nên tắt nguồn hoặc đưa nó vào chế độ ngủ đông khi bạn không sử dụng. Thao tác này sẽ xóa khóa mã hóa khỏi RAM của máy tính - bạn sẽ được nhắc nhập lại cụm mật khẩu của mình khi bạn khởi động lại máy tính. Ngược lại, việc đưa máy tính vào chế độ ngủ sẽ để lại khóa mã hóa còn lại trong RAM của máy tính. Điều này đặt máy tính của bạn có nguy cơ bị tấn công lạnh khởi động.
“Đặc điểm giảm thiểu tấn công đặt lại nền tảng TCG” là phản hồi của ngành đối với mối quan ngại này. Đặc điểm kỹ thuật này buộc BIOS của thiết bị ghi đè bộ nhớ trong khi khởi động. Tuy nhiên, mô-đun bộ nhớ của thiết bị có thể bị xóa khỏi máy tính và được phân tích trên máy tính khác, bỏ qua biện pháp bảo mật này. Hiện tại không có cách nào chống lừa đảo để ngăn chặn cuộc tấn công này.
Bạn có thực sự cần phải lo lắng?
Với tư cách là chuyên viên máy tính, thật thú vị khi xem xét các cuộc tấn công lý thuyết và cách chúng tôi có thể ngăn chặn chúng. Nhưng hãy thành thật: Hầu hết mọi người sẽ không cần phải lo lắng về những cuộc tấn công khởi động lạnh này. Các chính phủ và tập đoàn có dữ liệu nhạy cảm để bảo vệ sẽ muốn ghi nhớ cuộc tấn công này, nhưng người đam mê trung bình không nên lo lắng về điều này.
Nếu ai đó thực sự muốn các tệp được mã hóa của bạn, họ có thể sẽ cố gắng lấy khóa mã hóa của bạn ra khỏi bạn thay vì thực hiện một cuộc tấn công khởi động lạnh, đòi hỏi sự chuyên môn hơn.
