Kỹ thuật tấn công có tuổi đời cả thập kỷ này có thể bẻ gãy mã hóa của hầu hết các PC hiện nay
Trí Thức Trẻ | 19/09/2018 03:23 PM
Nếu bạn muốn bảo mật dữ liệu trên máy tính trước các cuộc tấn công, một trong những bước quan trọng là mã hóa ổ cứng. Nhờ đó, nếu laptop bị mất hay bị đánh cắp, hay ai đó động vào nó khi bạn không có mặt, mọi thứ sẽ được bảo vệ và không thể bị truy xuất.
Thế nhưng, các nhà nghiên cứu tại công ty bảo mật F-Secure mới đây đã phát hiện ra một cuộc tấn công tận dụng một kỹ thuật có tuổi đời cả thập kỷ để tìm ra các khóa bảo mật đó, cho phép hacker giải mã dữ liệu của bạn. Tệ hơn nữa, kỹ thuật này hoạt động trên gần như mọi máy tính hiện nay.
Để đoạt được khóa mã hóa, kỹ thuật tấn công này sử dụng một phương thức khá nổi tiếng gọi là "cold boot", trong đó hacker sẽ tắt máy tính không theo cách thông thường - tức rút phích cắm điện - khởi động lại máy, sau đó dùng một công cụ như một USB chứa mã độc để nhanh chóng thu dữ liệu được lưu trữ trên bộ nhớ máy tính trước khi điện trong máy hoàn toàn cạn kiệt. Hệ điều hành và các hãng sản xuất chip máy tính đã có nhiều giải pháp để chống lại các cuộc tấn công cold boot từ 10 năm trước, nhưng các nhà nghiên cứu của F-Secure bằng cách nào đó đã có thể mang nó trở về từ cõi chết.
Các giải pháp ngăn chặn cold boot trên máy tính hiện đại khiến kỹ thuật tấn công này gặp phải nhiều khó khăn hơn so với 10 năm trước, nhưng đối với một kẻ tấn công có chủ đích và động lực, hoặc đầy tò mò và lại đang rảnh rỗi, thì một phương thức hiệu quả để giải mã các máy tính bị thất lạc hoặc đánh cắp luôn mang lại những giá trị cực lớn.
"Nếu bạn có thể tiếp cận máy tính khi không có ai xung quanh, kỹ thuật tấn công này sẽ là một cách rất hiệu quả để trích xuất các bí mật từ bộ nhớ máy tính" - Olle Segerdahl, chuyên gia tư vấn bảo mật tại F-Secure cho biết - "Chúng tôi đã thử nó trên nhiều máy tính thuộc nhiều hãng khác nhau, và phát hiện ra rằng kỹ thuật tấn công này hiệu quả và khả năng thành công cao. Mặc dù hơi phức tạp, khi mà bạn phải vặn vài con ốc và nối vài sợi dây, nhưng thao tác này khá nhanh và hoàn toàn có thể thực hiện được với kiến thức của một hacker. Nó không phải là một thách thức lớn về mặt kỹ thuật".
Segerdahl nhấn mạnh rằng những phát hiện này chủ yếu hướng đến các tập đoàn và các tổ chức đang quản lý một lượng lớn các máy tính, và có thể bị xâm nhập toàn bộ mạng lưới chỉ vì một chiếc laptop bị thất lạc hoặc đánh cắp.
Để tiến hành tấn công, các nhà nghiên cứu F-Secure đầu tiên phải tìm ra một cách để qua mặt cơ chế bảo về cold boot chuẩn công nghiệp. Cơ chế bảo vệ này hoạt động bằng cách tiến hành một kiểm tra đơn giản giữa hệ điều hành và firmware của máy tính - bộ mã cơ sở định hướng phần cứng và phần mềm cho những hoạt động như khởi động máy ban đầu. Hệ điều hành đánh dấu hoặc gắn cờ báo hiệu rằng nó có dữ liệu bí mật lưu trữ trong bộ nhớ máy, và khi máy tính khởi động, firmware của máy sẽ kiểm tra cờ đó. Nếu máy tính tắt theo cách thông thường, hệ điều hành sẽ xóa bỏ dữ liệu cùng cờ Nhưng nếu firmware phát hiện ra cờ vẫn còn trong quá trình khởi động, nó sẽ đảm nhận trách nhiệm xóa bỏ bộ nhớ trước khi bất kỳ thứ gì có thể xảy ra.
Nhìn vào phương thức phân công nhiệm vụ này, các nhà nghiên cứu đã nhận ra ngay vấn đề. Nếu họ mở thùng một chiếc máy tính ra và trực tiếp kết nối đến con chip dùng để chạy firmware và gắn cờ, họ có thể tương tác với nó và xóa cờ đi. Điều này sẽ khiến máy tính nghĩ rằng nó đã tắt bình thường và hệ điều hành đã xóa bỏ bộ nhớ, bởi cờ đã không còn nữa, trong khi trên thực tế các dữ liệu nhạy cảm tiềm tàng vẫn còn đó.
Thế là các nhà nghiên cứu đã thiết kế một mạch vi điều khiển tương đối đơn giản và một chương trình có thể kết nối đến con chip firmware và kiểm soát việc gắn cờ. Từ đó, một kẻ tấn công có thể tiếp tục thực hiện kỹ thuật tấn công cold boot tiêu chuẩn. Dù bất kỳ thứ gì cũng có thể được lưu trữ trong bộ nhớ khi máy tính ở trạng thái nghỉ, Segerdahl nhấn mạnh rằng một kẻ tấn công có thể chắc chắn rằng các khóa giải mã của thiết bị sẽ là một trong số các dữ liệu đó nếu trên màn hình máy tính lúc này đang hiển thị màn hình khóa - vốn chờ đợi người dùng nhập mật mã để kiểm tra xem họ có nhập đúng với đoạn mật mã đang được lưu trữ trong bộ nhớ hay không.
Phòng chóng kỹ thuật tấn công Cold Boot
Bởi những mối đe dọa phát sinh từ loại hình tấn công này, Segerdahl nói rằng các tổ chức nên cẩn thận theo dõi mọi thiết bị của mình để có thể hành động nếu một trong số chúng bị thất lạc hoặc đánh cắp. Dù tổ chức đó lớn như thế nào, thì các quản trị viên IT cũng cần phải có khả năng thu hồi các thông tin xác thực VPN, các chứng chỉ Wi-Fi, và các hình thức xác thực khác cho phép các thiết bị truy xuất vào toàn bộ mạng lưới, nhằm giảm thiểu khả năng sụp hệ thống nếu thiết bị mất tích kia đã bị can thiệp. Một giải pháp bảo vệ tiềm năng khác đòi hỏi thiết lập các máy tính tự động tắt khi chúng ở trạng thái nghỉ thay vì chỉ chuyển sang chế độ ngủ, và sau đó sử dụng một công cụ mã hóa ổ đĩa - như Microsoft BitLocker - để yêu cầu một mã PIN bổ sung khi máy tính được bật lên, trước khi hệ điều hành thực sự khởi động. Với cách này, bộ nhớ máy sẽ chẳng có gì để bị đánh cắp cả.
Nếu bạn lo ngại việc máy tính bị can thiệp khi bạn có việc phải ra ngoài, các công cụ giám sát tương tác vật lý với thiết bị - như ứng dụng di động Haven và ứng dụng dành cho Mac là Do Not Disturb - có thể thông báo cho bạn về những hành vi truy xuất đến thiết bị về mặt vật lý. Những hành vi xâm phạm như kỹ thuật cold boot thường được gọi là "tấn công nàng hầu độc ác".
Các nhà nghiên cứu đã thông báo với Microsoft, Apple và Intel về các phát hiện của họ. Microsoft đã tung ra một bản cập nhật hướng dẫn sử dụng BitLocker để giải quyết vấn đề. "Kỹ thuật này đòi hỏi phải truy xuất vật lý đến thiết bị. Để bảo vệ thông tin nhạy cảm, ít nhất chúng tôi khuyến nghị sử dụng một thiết bị với một Trusted Platform Module (TPM), tắt chế độ sleep/hibernation và cấu hình BitLocker với một Personal Identification Number" - Jeff Jones, một giám đốc tại Microsoft nói.
Segerdahl cho biết, ông chưa tìm ra một cách nhanh gọn nào để khắc phục vấn đề lớn này. Các bản tweak hệ điều hành và các bản cập nhật firmware có thể giúp quá trình kiểm tra cờ hiệu quả hơn, nhưng bởi vì những kẻ tấn công đã truy xuất và thao túng firmware trong quá trình tấn công, chúng có thể đơn giản là hạ cấp firmware đã được cập nhật trở lại phiên bản cũ. Kết quả là, những giải pháp giảm nhẹ về mặt lâu dài đòi hỏi những thay đổi về thiết kế vật lý, khiến kẻ tấn công gặp khó khăn hơn trong việc thao túng quá trình kiểm tra cờ.
Apple đã phát triển một giải pháp như vậy thông qua con chip T2 trên iMac mới. Phương thức của họ là tách biệt những quá trình trọng yếu, đưa chúng lên một con chip riêng biệt, bảo mật, không liên quan đến các vi xử lý chính vốn chạy firmware chung và hệ điều hành. Segerdahl nói rằng dù kỹ thuật cold boot tái sinh này hoạt động trên hầu như mọi máy Mac, chip T2 đã thành công trong việc đánh bại nó. Một người phát ngôn của Apple còn đề xuất người dùng đặt mật mã cho firmware để ngăn truy xuất trái phép, và công ty đang khám phá các thức bảo vệ những máy Mac không có chip T2. Intel từ chối đưa ra bình luận liên quan.
"Điều này chỉ có thể được khắc phục thông qua cập nhật phần cứng" - Kenn White, giám đốc Open Crypto Audit Project, người không tham gia vào nghiên cứu, cho biết - "Truy xuất vật lý là một trò mèo đuổi chuột. Tin tốt đối với hầu hết mọi người là 99,9% những tên trộm sẽ chỉ bán thiết bị đã đánh cắp được cho những người khác, sau đó những người này sẽ cài lại hệ điều hành và xóa dữ liệu của bạn mà thôi".
Đối với các tổ chức có dữ liệu đáng giá, hay các cá nhân nắm giữa các thông tin nhạy cảm, nguy cơ này sẽ tiếp tục tồn tại trên hầu hết các máy tính trong nhiều năm tới.
Tham khảo: Wired