Nếu bạn nghĩ mã hóa ổ cứng là "chốt chặn" cuối cùng để bảo vệ data khi laptop bị mất hay ai đó lén lút "sờ soạng" máy mình, thì... cũng đúng thôi, nhưng giờ có vấn đề rồi đấy!
Hội nghiên cứu từ công ty bảo mật F-Secure vừa "khui" ra một chiêu tấn công xịn xò, lợi dụng kỹ thuật đã "lỗi thời" cả thập kỷ để bẻ khóa bảo mật, giúp hacker giải mã data của bạn một cách... dễ dàng. Tệ hơn nữa là nó hoạt động trên gần như MỌI máy tính hiện nay luôn á!
Để "ăn cắp" khóa mã hóa, kỹ thuật này sử dụng phương thức khá nổi tiếng tên là "cold boot" – nghe fancy nhưng thực ra là hacker sẽ tắt máy kiểu "bạo lực" (rút luôn phích cắm điện ấy), khởi động lại, rồi cắm USB chứa mã độc vào để nhanh tay thu thập data còn lưu trong bộ nhớ máy tính trước khi pin cạn hẳn.
Hệ điều hành và các hãng chip đã có nhiều giải pháp chống cold boot từ 10 năm trước rồi, nhưng mà team F-Secure này bằng cách nào đó đã "hồi sinh" nó từ cõi chết!
Tuy là các giải pháp ngăn chặn cold boot trên máy tính hiện đại khiến kỹ thuật này khó hơn so với 10 năm về trước, nhưng với một hacker có động lực (hoặc đơn giản là đang rảnh rỗi và tò mó), thì đây vẫn là cách cực kỳ hiệu quả để "bóc phốt" các máy tính bị thất lạc hoặc đánh cắp.
"Nếu bạn có thể tiếp cận máy tính khi không có ai xung quanh, kỹ thuật tấn công này sẽ là một cách rất hiệu quả để trích xuất các bí mật từ bộ nhớ máy tính" - Olle Segerdahl, chuyên gia tư vấn bảo mật tại F-Secure cho biết.
"Chúng tôi đã thử nó trên nhiều máy tính thuộc nhiều hãng khác nhau, và phát hiện ra rằng kỹ thuật tấn công này hiệu quả và khả năng thành công cao. Mặc dù hơi phức tạp, khi mà bạn phải vặn vài con ốc và nối vài sợi dây, nhưng thao tác này khá nhanh và hoàn toàn có thể thực hiện được với kiến thức của một hacker. Nó không phải là một thách thức lớn về mặt kỹ thuật".
Segerdahl nhấn mạnh rằng những phát hiện này chủ yếu hướng đến các tập đoàn và tổ chức đang quản lý một đống máy tính, vì có thể bị "sụp đổ" toàn bộ mạng lưới chỉ vì một chiếc laptop bị mất hoặc bị "cuỗm".
Hack kiểu gì mà xịn vậy?
Để tiến hành tấn công, team F-Secure đầu tiên phải tìm cách qua mặt cơ chế bảo vệ cold boot chuẩn công nghiệp. Cơ chế này hoạt động bằng cách kiểm tra giữa hệ điều hành và firmware của máy tính – bộ mã cơ sở điều khiển phần cứng và phần mềm cho những hoạt động như khởi động máy ban đầu.
Hệ điều hành sẽ đánh dấu hoặc gắn cờ báo hiệu rằng nó có data bí mật lưu trong bộ nhớ máy, và khi máy khởi động, firmware sẽ kiểm tra cờ đó. Nếu máy tính tắt theo cách thông thường, hệ điều hành sẽ xóa bỏ data cùng cờ.
Nhưng nếu firmware phát hiện ra cờ vẫn còn trong quá trình khởi động, nó sẽ đảm nhận trách nhiệm xóa bỏ bộ nhớ trước khi bất kỳ thứ gì có thể xảy ra.
Nhìn vào phương thức phân công nhiệm vụ này, các nhà nghiên cứu đã nhận ra ngay điểm yếu. Nếu họ mở thùng một chiếc máy tính ra và trực tiếp kết nối đến con chip dùng để chạy firmware và gắn cờ, họ có thể tương tác với nó và xóa cờ đi.
Điều này sẽ khiến máy tính nghĩ rằng nó đã tắt bình thường và hệ điều hành đã xóa bỏ bộ nhớ, bởi cờ đã không còn nữa, trong khi trên thực tế các data nhạy cảm vẫn còn nguyên đó!
Thế là các nhà nghiên cứu đã thiết kế một mạch vi điều khiển tương đối đơn giản và một chương trình có thể kết nối đến con chip firmware và kiểm soát việc gắn cờ. Từ đó, kẻ tấn công có thể tiếp tục thực hiện kỹ thuật tấn công cold boot tiêu chuẩn.
Dù bất kỳ thứ gì cũng có thể được lưu trữ trong bộ nhớ khi máy tính ở trạng thái nghỉ, Segerdahl nhấn mạnh rằng kẻ tấn công có thể chắc chắn rằng các khóa giải mã của thiết bị sẽ là một trong số các data đó nếu trên màn hình máy tính lúc này đang hiển thị màn hình khóa – vốn chờ đợi người dùng nhập mật mã để kiểm tra xem họ có nhập đúng với đoạn mật mã đang được lưu trữ trong bộ nhớ hay không.
Phòng chống kỹ thuật tấn công Cold Boot ntn? ️
Bởi những mối đe dọa phát sinh từ loại hình tấn công này, Segerdahl nói rằng các tổ chức nên cẩn thận theo dõi mọi thiết bị của mình để có thể hành động nếu một trong số chúng bị thất lạc hoặc đánh cắp.
Dù tổ chức đó lớn như thế nào, thì các admin IT cũng cần phải có khả năng thu hồi các thông tin xác thực VPN, các chứng chỉ Wi-Fi, và các hình thức xác thực khác cho phép các thiết bị truy xuất vào toàn bộ mạng lưới, nhằm giảm thiểu khả năng "sụp hệ thống" nếu thiết bị mất tích kia đã bị can thiệp.
Một giải pháp bảo vệ tiềm năng khác đòi hỏi thiết lập các máy tính tự động tắt khi chúng ở trạng thái nghỉ thay vì chỉ chuyển sang chế độ ngủ, và sau đó sử dụng một công cụ mã hóa ổ đĩa – như Microsoft BitLocker – để yêu cầu một mã PIN bổ sung khi máy tính được bật lên, trước khi hệ điều hành thực sự khởi động. Với cách này, bộ nhớ máy sẽ chẳng có gì để bị đánh cắp cả!
Nếu bạn lo ngại việc máy tính bị "sờ soạng" khi bạn có việc phải ra ngoài, các công cụ giám sát tương tác vật lý với thiết bị – như ứng dụng di động Haven và ứng dụng dành cho Mac là Do Not Disturb – có thể thông báo cho bạn về những hành vi truy xuất đến thiết bị về mặt vật lý.
Những hành vi xâm phạm như kỹ thuật cold boot thường được gọi là "tấn công nàng hầu độc ác" (nghe drama ghê ).
Big Tech nói gì?
Các nhà nghiên cứu đã thông báo với Microsoft, Apple và Intel về các phát hiện của họ.
Microsoft đã tung ra một bản cập nhật hướng dẫn sử dụng BitLocker để giải quyết vấn đề. "Kỹ thuật này đòi hỏi phải truy xuất vật lý đến thiết bị. Để bảo vệ thông tin nhạy cảm, ít nhất chúng tôi khuyến nghị sử dụng một thiết bị với một Trusted Platform Module (TPM), tắt chế độ sleep/hibernation và cấu hình BitLocker với một Personal Identification Number" - Jeff Jones, một giám đốc tại Microsoft nói.
Segerdahl cho biết, ông chưa tìm ra một cách nhanh gọn nào để khắc phục vấn đề lớn này. Các bản tweak hệ điều hành và các bản cập nhật firmware có thể giúp quá trình kiểm tra cờ hiệu quả hơn, nhưng bởi vì những kẻ tấn công đã truy xuất và thao túng firmware trong quá trình tấn công, chúng có thể đơn giản là hạ cấp firmware đã được cập nhật trở lại phiên bản cũ.
Kết quả là, những giải pháp giảm nhẹ về mặt lâu dài đòi hỏi những thay đổi về thiết kế vật lý, khiến kẻ tấn công gặp khó khăn hơn trong việc thao túng quá trình kiểm tra cờ.
Apple đã phát triển một giải pháp như vậy thông qua con chip T2 trên iMac mới. Phương thức của họ là tách biệt những quá trình trọng yếu, đưa chúng lên một con chip riêng biệt, bảo mật, không liên quan đến các vi xử lý chính vốn chạy firmware chung và hệ điều hành.
Segerdahl nói rằng dù kỹ thuật cold boot tái sinh này hoạt động trên hầu như mọi máy Mac, chip T2 đã thành công trong việc đánh bại nó. Một người phát ngôn của Apple còn đề xuất người dùng đặt mật mã cho firmware để ngăn truy xuất trái phép, và công ty đang khám phá các thức bảo vệ những máy Mac không có chip T2. Intel từ chối đưa ra bình luận liên quan.
"Điều này chỉ có thể được khắc phục thông qua cập nhật phần cứng" - Kenn White, giám đốc Open Crypto Audit Project, người không tham gia vào nghiên cứu, cho biết - "Truy xuất vật lý là một trò mèo đuổi chuột. Tin tốt đối với hầu hết mọi người là 99,9% những tên trộm sẽ chỉ bán thiết bị đã đánh cắp được cho những người khác, sau đó những người này sẽ cài lại hệ điều hành và xóa data của bạn mà thôi".
Nguồn: soha.vn