Gửi lúc: 19/12/2018 16:08:55
Bookmark and Share

Phương thức tấn công khởi động nguội mới cho phép đánh cắp khóa mã hóa và các thông tin nhạy cảm

Các nhà nghiên cứu của công ty an ninh mạng F-Secure (Phần Lan) đã phát triển một công cụ mới để thực hiện phương thức tấn công khởi động nguội. Công cụ này cho phép tin tặc đánh cắp được khóa mã hóa và các thông tin nhạy cảm khác từ thiết bị của nạn nhân khi đang trong chế độ nghỉ (sleep mode).



Olle Segerdahl - cố vấn an ninh chính của F-Secure và cộng sự Pasi Saarinen đã phát triển một loại tấn công có thể vượt qua cơ chế hạn chế lỗi BIOS, bằng việc khai thác một số điểm yếu trong cách bảo vệ phần mềm cho phần cứng máy tính (firmware) của một số hãng như Apple, Dell, Lenovo và các dòng máy tính được sản xuất trong 10 năm trở lại đây.

Lỗ hổng xảy ra khi một máy tính được khởi động lại hoặc tắt đi không đúng tiến trình. Khi đó, các thông tin quan trọng vẫn còn nằm trong bộ nhớ RAM sau khi thiết bị tắt. Phương pháp tấn công này cũng vượt qua một số cơ chế hạn chế tấn công khởi động nguội hiện có trên máy tính.

Các chuyên gia đã tìm ra cách vô hiệu hóa tính năng ghi đè thông qua việc xử lý phần cứng của máy tính. Bằng một công cụ đơn giản, các chuyên gia có thể viết lại chip bộ nhớ điện tĩnh (bộ nhớ bất biến - non-volatile memory) có chứa các cài đặt, vô hiệu hóa ghi đè bộ nhớ và cho phép khởi động từ thiết bị bên ngoài. Phương thức tấn công khởi động nguội được thực hiện bằng cách khởi động một chương trình đặc biệt qua USB.

Segerdahl cho rằng, chế độ nghỉ của máy tính là chế độ dễ bị tấn công, vì tin tặc với quyền tiếp cận trực tiếp với thiết bị có thể cài đặt lại phần mềm cho phần cứng máy tính một cách đơn giản. Các chuyên gia đã thực hiện cuộc tấn công bằng cách sử dụng một chiếc USB được chế tạo đặc biệt để kết xuất thông tin từ bộ nhớ pre-boot, từ đó có thể lấy được mật khẩu máy tính và truy cập được vào thiết bị.

Kiểu tấn công này không đơn giản để thực hiện và yêu cầu quyền tiếp cận vật lý mới có thể làm được. Tuy nhiên, các nhà nghiên cứu khuyến cáo rằng, vì kỹ thuật tấn công này được tin tặc biết đến và có thể thực hiện trên hầu hết các loại máy tính hiện đại, nên các công ty cần đề phòng và chú ý.

Để ngăn chặn mối đe dọa này, các nhà nghiên cứu khuyến cáo, các công ty nên sử dụng mã PIN để truy cập vào phần khôi phục, khởi động, tắt, nghỉ, ngủ đông máy tính, giữ an toàn về mặt vật lý cho máy tính, báo cáo các thiết bị mất tích và có kế hoạch ứng phó khẩn cấp để xử lý các thiết bị mất tích đó.

Theo Segerdahl, thông thường, các tổ chức không chuẩn bị trước để bảo vệ mình khỏi những kẻ tấn công có quyền sử dụng trực tiếp máy tính của công ty. Khi gặp phải sự cố bảo mật trong các thiết bị từ những nhà cung cấp máy tính lớn, như lỗ hổng mà các chuyên gia đã tìm được để khai thác, người dùng cần hiểu rằng rất nhiều công ty còn tồn tại liên kết yếu trong bộ phận an ninh mà họ không phát hiện được và chuẩn bị để khắc phục.

Các nhà nghiên cứu đã chia sẻ nghiên cứu của họ với Microsoft, Intel, Apple và cả ba công ty này đều đang tìm kiếm các chiến lược để khắc phục lỗ hổng.

Toàn Thắng (Theo SC)