Cold Boot Attack là một phương pháp khác được sử dụng để lấy cắp dữ liệu. Điều duy nhất đặc biệt là họ có quyền truy cập trực tiếp vào phần cứng máy tính của bạn hoặc toàn bộ máy tính. Bài viết này nói về những gì là Cold Boot Attack và làm thế nào để giữ an toàn từ các kỹ thuật như vậy.
Chiến dịch khởi động lạnh là gì
Trong một Cold Boot Attack hoặc một Platform Reset Attack, kẻ tấn công có quyền truy cập vật lý vào máy tính của bạn thực hiện khởi động lại lạnh để khởi động lại máy để truy xuất các khóa mã hóa từ hệ điều hành Windows
Họ dạy chúng tôi trong các trường học mà RAM (Bộ nhớ truy cập ngẫu nhiên) dễ bay hơi và không thể giữ dữ liệu nếu máy tính bị tắt. Những gì họ nên nói với chúng ta đáng lẽ phải …không thể giữ dữ liệu lâu nếu máy tính bị tắt. Điều đó có nghĩa, RAM vẫn giữ dữ liệu từ vài giây đến vài phút trước khi nó mất dần do thiếu nguồn điện. Trong một khoảng thời gian cực nhỏ, bất kỳ ai có công cụ thích hợp đều có thể đọc RAM và sao chép nội dung vào bộ nhớ an toàn, vĩnh viễn bằng hệ điều hành nhẹ khác trên thanh USB hoặc Thẻ SD. Một cuộc tấn công như vậy được gọi là tấn công khởi động lạnh.
Hãy tưởng tượng một máy tính nằm không cần giám sát tại một số tổ chức trong vài phút. Bất kỳ hacker nào cũng phải đặt công cụ của mình tại chỗ và tắt máy tính. Khi RAM nguội đi (dữ liệu mất dần dần), hacker sẽ cắm vào một thanh USB có thể khởi động và khởi động thông qua đó. Người đó có thể sao chép nội dung vào một cái gì đó giống như một thanh USB.
Kể từ khi bản chất của cuộc tấn công là tắt máy tính và sau đó sử dụng công tắc nguồn để khởi động lại nó, nó được gọi là khởi động lạnh. Bạn có thể đã học được về khởi động lạnh và khởi động ấm áp trong những năm đầu tính toán của bạn. Khởi động nguội là nơi bạn khởi động máy tính bằng công tắc nguồn. Khởi động khởi động là nơi bạn sử dụng tùy chọn khởi động lại máy tính bằng cách sử dụng tùy chọn khởi động lại trong menu tắt.
Đóng băng RAM
Đây là một thủ thuật khác trên tay áo của tin tặc. Họ chỉ có thể phun một số chất (ví dụ: Nitơ lỏng) vào các mô-đun RAM để chúng đóng băng ngay lập tức. Nhiệt độ càng thấp, RAM càng dài có thể chứa thông tin. Sử dụng thủ thuật này, họ (tin tặc) có thể hoàn thành thành công Cold Boot Attack và sao chép dữ liệu tối đa. Để đẩy nhanh quá trình, họ sử dụng các tệp tự động chạy trên Hệ điều hành nhẹ trên USB Stick hoặc Thẻ SD được khởi động ngay sau khi tắt máy tính bị tấn công.
Các bước trong một cuộc tấn công khởi động lạnh
Không nhất thiết mọi người đều sử dụng kiểu tấn công tương tự như kiểu được đưa ra dưới đây. Tuy nhiên, hầu hết các bước phổ biến được liệt kê dưới đây.
- Thay đổi thông tin BIOS để cho phép khởi động từ USB trước
- Cắm USB có thể khởi động vào máy tính được đề cập
- Tắt máy tính để bộ xử lý không có thời gian tháo dỡ bất kỳ khóa mã hóa hoặc dữ liệu quan trọng nào khác; biết rằng tắt máy đúng cách cũng có thể giúp ích nhưng có thể không thành công khi bị tắt cưỡng bức bằng cách bấm phím nguồn hoặc các phương pháp khác.
- Càng sớm càng tốt, sử dụng công tắc nguồn để khởi động lạnh máy tính bị tấn công
- Kể từ khi các thiết lập BIOS đã được thay đổi, hệ điều hành trên một thanh USB được nạp
- Ngay cả khi hệ điều hành này đang được tải, chúng tự động chạy các quy trình để trích xuất dữ liệu được lưu trữ trong RAM.
- Tắt máy tính một lần nữa sau khi kiểm tra bộ nhớ đích (nơi dữ liệu bị lấy cắp được lưu trữ), tháo thanh USB OS Stick và bỏ đi
Thông tin nào có nguy cơ bị tấn công lạnh
Thông tin / dữ liệu phổ biến nhất có nguy cơ là các khóa và mật mã mã hóa đĩa. Thông thường, mục tiêu của một cuộc tấn công khởi động lạnh là để lấy các khóa mã hóa đĩa bất hợp pháp, mà không được phép.
Những điều cuối cùng xảy ra khi tắt máy đúng cách là tháo dỡ ổ đĩa và sử dụng các khóa mã hóa để mã hóa chúng để có thể nếu máy tính bị tắt đột ngột, dữ liệu có thể vẫn có sẵn cho chúng.
Bảo vệ bạn khỏi Cold Boot Attack
Ở cấp độ cá nhân, bạn chỉ có thể đảm bảo rằng bạn ở gần máy tính của mình cho đến ít nhất 5 phút sau khi tắt máy. Thêm một biện pháp phòng ngừa là tắt đúng cách bằng cách sử dụng menu tắt, thay vì kéo dây điện hoặc sử dụng nút nguồn để tắt máy tính.
Bạn không thể làm được nhiều bởi vì nó không phải là vấn đề phần mềm. Nó liên quan nhiều hơn đến phần cứng. Vì vậy, các nhà sản xuất thiết bị nên chủ động loại bỏ tất cả dữ liệu khỏi RAM càng sớm càng tốt sau khi máy tính bị tắt để tránh và bảo vệ bạn khỏi bị tấn công khởi động lạnh.
Một số máy tính bây giờ ghi đè lên RAM trước khi tắt hoàn toàn. Tuy nhiên, khả năng tắt máy cưỡng bức luôn ở đó.
Kỹ thuật được BitLocker sử dụng là sử dụng mã PIN để truy cập RAM. Ngay cả khi máy tính đã bị ngủ đông (trạng thái tắt máy tính), khi người dùng thức dậy và cố truy cập mọi thứ, trước tiên người đó phải nhập mã PIN để truy cập RAM. Phương pháp này cũng không chống lừa đảo vì tin tặc có thể lấy mã PIN bằng một trong các phương pháp Phishing hoặc Social Engineering.
Tóm lược
Ở trên giải thích những gì một cuộc tấn công khởi động lạnh là và làm thế nào nó hoạt động. Có một số hạn chế do đó 100% bảo mật không thể được cung cấp chống lại một cuộc tấn công khởi động lạnh. Nhưng theo như tôi biết, các công ty bảo mật đang làm việc để tìm một giải pháp tốt hơn là chỉ viết lại RAM hoặc sử dụng mã PIN để bảo vệ nội dung của RAM.
Bài viết liên quan:
- 8 chiếc máy tính bảng tốt nhất mà bạn có thể mua
- Windows 8 Shutdown hoặc Restart - 10 cách khác nhau để làm điều đó
- Cách kích hoạt và cấu hình chính sách nhóm phức tạp PIN trong Windows 10
- Các lựa chọn thay thế TrueCrypt: AESCrypt, FreeOTFE và DiskCryptor
- Giữ an toàn trên Internet với Java; hoặc an toàn hơn nếu không có nó!
