Cold Boot Attack คืออะไรและคุณจะปลอดภัยได้อย่างไร?
Cold Boot Attackเป็นอีกวิธีหนึ่งที่ใช้ในการขโมยข้อมูล สิ่งเดียวที่พิเศษคือสามารถเข้าถึงฮาร์ดแวร์คอมพิวเตอร์ของคุณหรือคอมพิวเตอร์ทั้งหมดได้โดยตรง บทความนี้กล่าวถึง Cold Boot Attack คืออะไร และจะปลอดภัยจากเทคนิคดังกล่าวได้อย่างไร
Cold Boot Attack คืออะไร
ในCold Boot AttackหรือPlatform Reset Attackผู้โจมตีที่สามารถเข้าถึงคอมพิวเตอร์ของคุณได้ทางกายภาพจะทำการรีบูตเครื่องเพื่อรีสตาร์ทเครื่องเพื่อรับคีย์การเข้ารหัสจากระบบปฏิบัติการWindows
พวกเขาสอนเราในโรงเรียนว่าRAM ( Random Access Memory ) มีความผันผวนและไม่สามารถเก็บข้อมูลได้หากปิดเครื่องคอมพิวเตอร์ สิ่งที่พวกเขาควรจะบอกเราควรจะเป็น ... ไม่สามารถเก็บข้อมูลได้นานหากปิดเครื่อง(cannot hold data for long if the computer is switched off)คอมพิวเตอร์ นั่นหมายความว่าRAMยังคงเก็บข้อมูลตั้งแต่ไม่กี่วินาทีจนถึงสองสามนาทีก่อนที่ข้อมูลจะจางหายไปเนื่องจากไม่มีไฟฟ้าจ่าย ในช่วงเวลาสั้นๆ นี้ ใครก็ตามที่มีเครื่องมือที่เหมาะสมสามารถอ่านRAMและคัดลอกเนื้อหาไปยังที่จัดเก็บข้อมูลถาวรที่ปลอดภัยโดยใช้ระบบปฏิบัติการน้ำหนักเบาแบบอื่นบนแท่งUSB หรือการ์ด(USB)SD (SD Card)การโจมตีดังกล่าวเรียกว่าการโจมตีแบบโคลด์บูต
ลองนึกภาพคอมพิวเตอร์ที่วางอยู่โดยไม่มีใครดูแลในองค์กรสักสองสามนาที แฮ็กเกอร์คนใดเพียงแค่ต้องตั้งค่าเครื่องมือของเขาให้เข้าที่และปิดเครื่องคอมพิวเตอร์ เมื่อRAMเย็นลง (ข้อมูลค่อยๆ จางลง) แฮ็กเกอร์จึงเสียบปลั๊กUSB ที่สามารถบู๊ตได้ และบู๊ตผ่านทางนั้น เขาหรือเธอสามารถคัดลอกเนื้อหาไปยังสิ่งที่เหมือนกับแท่งUSB เดียวกันได้(USB)
เนื่องจากลักษณะของการโจมตีคือการปิดเครื่องคอมพิวเตอร์แล้วใช้สวิตช์เปิดปิดเพื่อรีสตาร์ท จึงเรียกว่าการบู๊ตแบบเย็น คุณอาจได้เรียนรู้เกี่ยวกับ cold boot และ warm boot ในช่วงเริ่มต้นใช้งานคอมพิวเตอร์ Cold boot คือที่ที่คุณเริ่มคอมพิวเตอร์โดยใช้สวิตช์เปิดปิด Warm Boot คือที่ที่คุณใช้ตัวเลือกในการรีสตาร์ทคอมพิวเตอร์โดยใช้ตัวเลือกรีสตาร์ทในเมนูปิดเครื่อง
แช่แข็ง RAM
นี่เป็นอีกหนึ่งกลอุบายสำหรับแฮกเกอร์ พวกเขาสามารถฉีดสารบางอย่าง (เช่นLiquid Nitrogen ) ลงบน โมดูล RAMเพื่อให้แข็งตัวทันที ยิ่งอุณหภูมิต่ำลงRAMก็ยิ่งเก็บข้อมูลได้ยาวนานขึ้น การใช้เคล็ดลับนี้ พวกเขา (แฮกเกอร์) สามารถทำCold Boot Attackและคัดลอกข้อมูลสูงสุดได้สำเร็จ ในการเร่งกระบวนการ พวกเขาใช้ไฟล์การทำงานอัตโนมัติบนระบบ(System) ปฏิบัติการน้ำหนักเบา บนUSB Sticksหรือการ์ด SD ที่บูททันทีหลังจากปิดเครื่องคอมพิวเตอร์ที่ถูกแฮ็ก
ขั้นตอนในการโจมตีแบบ Cold Boot
ไม่จำเป็นว่าทุกคนจะใช้รูปแบบการโจมตีที่คล้ายกับที่แสดงด้านล่าง อย่างไรก็ตาม ขั้นตอนทั่วไปส่วนใหญ่แสดงอยู่ด้านล่าง
- เปลี่ยน ข้อมูล BIOSเพื่ออนุญาตให้บูตจากUSBก่อน
- ใส่(Insert)USBที่สามารถบู๊ตได้ลงในคอมพิวเตอร์ที่มีปัญหา
- ปิดคอมพิวเตอร์โดยบังคับเพื่อไม่ให้โปรเซสเซอร์มีเวลาถอดคีย์การเข้ารหัสหรือข้อมูลสำคัญอื่นๆ รู้ว่าการปิดระบบอย่างเหมาะสมอาจช่วยได้ แต่อาจไม่สำเร็จเท่ากับการบังคับปิดเครื่องโดยการกดปุ่มเปิด/ปิดหรือวิธีอื่นๆ
- โดยเร็วที่สุด โดยใช้สวิตช์เปิด/ปิดเพื่อทำความเย็นให้คอมพิวเตอร์ที่กำลังถูกแฮ็ก
- เนื่องจากมีการเปลี่ยนแปลงการตั้งค่าBIOS ระบบปฏิบัติการบน แท่งUSB จึงถูกโหลด(USB)
- แม้ในขณะที่กำลังโหลดระบบปฏิบัติการนี้ ระบบปฏิบัติการจะทำงานอัตโนมัติเพื่อดึงข้อมูลที่จัดเก็บไว้ในRAM
- ปิดคอมพิวเตอร์อีกครั้งหลังจากตรวจสอบที่เก็บข้อมูลปลายทาง (ที่จัดเก็บข้อมูลที่ถูกขโมย) ถอดUSB OS Stickแล้วเดินออกไป
ข้อมูลใดที่มีความเสี่ยงในCold Boot Attacks
ข้อมูล/ข้อมูลที่มีความเสี่ยงโดยทั่วไปส่วนใหญ่ ได้แก่ คีย์การเข้ารหัสดิสก์และรหัสผ่าน โดยปกติ เป้าหมายของการโจมตีแบบ Cold Boot คือการดึงคีย์การเข้ารหัสดิสก์อย่างผิดกฎหมายโดยไม่ได้รับอนุญาต
สิ่งสุดท้ายที่จะเกิดขึ้นเมื่อปิดเครื่องอย่างเหมาะสมคือการถอดดิสก์ออกและใช้คีย์เข้ารหัสเพื่อเข้ารหัส ดังนั้นจึงเป็นไปได้ว่าหากคอมพิวเตอร์ปิดอย่างกะทันหัน ข้อมูลอาจยังใช้ได้อยู่
ป้องกันตัวเองจากCold Boot Attack
ในระดับส่วนบุคคล คุณสามารถตรวจสอบให้แน่ใจว่าคุณอยู่ใกล้คอมพิวเตอร์จนกว่าจะปิดเครื่องอย่างน้อย 5 นาที ข้อควรระวังอีกอย่างหนึ่งคือการปิดเครื่องอย่างถูกต้องโดยใช้เมนูปิดเครื่อง แทนที่จะดึงสายไฟหรือใช้ปุ่มเปิดปิดเพื่อปิดเครื่องคอมพิวเตอร์
คุณทำอะไรไม่ได้มากเพราะส่วนใหญ่ไม่ใช่ปัญหาซอฟต์แวร์ มีความเกี่ยวข้องกับฮาร์ดแวร์มากขึ้น ดังนั้นผู้ผลิตอุปกรณ์ควรใช้ความคิดริเริ่มในการลบข้อมูลทั้งหมดออกจากRAMโดยเร็วที่สุดหลังจากปิดคอมพิวเตอร์ เพื่อหลีกเลี่ยงและปกป้องคุณจากการโจมตีแบบ Cold boot
คอมพิวเตอร์บางเครื่องในขณะนี้เขียนทับRAMก่อนปิดเครื่องโดยสมบูรณ์ ยังคงมีความเป็นไปได้ของการปิดระบบโดยบังคับอยู่เสมอ
เทคนิคที่BitLockerใช้คือการใช้PINเพื่อเข้าถึงRAM แม้ว่าคอมพิวเตอร์จะถูกไฮเบอร์เนต (สถานะการปิดคอมพิวเตอร์) เมื่อผู้ใช้ปลุกเครื่องขึ้นมาและพยายามเข้าถึงสิ่งใดๆ อันดับแรก เขาหรือเธอจะต้องป้อนPINเพื่อเข้าถึงRAM วิธีนี้ไม่สามารถป้องกันการเข้าใจผิดได้ เนื่องจากแฮกเกอร์สามารถรับPIN ได้ โดยใช้วิธีใดวิธีหนึ่งของฟิชชิ่ง(Phishing)หรือวิศวกรรม(Social Engineering)สังคม
สรุป
ข้อมูลข้างต้นอธิบายว่าการโจมตีแบบ Cold boot คืออะไรและทำงานอย่างไร มีข้อ จำกัด บางประการเนื่องจากไม่สามารถเสนอการรักษาความปลอดภัย 100% ต่อการโจมตีแบบโคลด์บูตได้ แต่เท่าที่ฉันรู้ บริษัทรักษาความปลอดภัยกำลังทำงานเพื่อค้นหาวิธีแก้ไขที่ดีกว่าเพียงแค่เขียนRAM ใหม่ หรือใช้PINเพื่อปกป้องเนื้อหาของRAM
ตอนนี้อ่านแล้ว(Now read) : Surfing Attack(What is a Surfing Attack)คืออะไร?
Related posts
วิธีการเปิดใช้งานด้วยตนเอง Retpoline บน Windows 10
วิธีการรายงาน Bug, Issue or Vulnerability ถึง Microsoft
DLL Hijacking Vulnerability Attacks, DLL Hijacking Vulnerability Attacks, Prevention & Detection
CSS Exfil Protection Extension เบราว์เซอร์นำเสนอการโจมตี CSS Exfil vulnerability
Bitdefender Home Scanner: สแกน Home Network ของคุณสำหรับช่องโหว่
วิธีการเปลี่ยนระบบปฏิบัติการเริ่มต้น ค่าเริ่มต้น Change Boot
ไม่สามารถเปิดร้านดาต้า boot configuration ได้
Windows 10 จะไม่บูตหลังจากกู้คืน System
วิธีการปิดการใช้งานใน Secure Boot Windows 11/10
Boot Advanced Options ใน MSCONFIG ใน Windows 10 อธิบาย
ปกป้องคอมพิวเตอร์ของคุณ Master Boot Record ด้วย MBR Filter
รูปแบบ Please The USB drive เป็นเดี่ยว FAT partition: Boot Camp Assistant
การซ่อมแซมข้อผิดพลาดของดิสก์อาจใช้เวลาหนึ่งชั่วโมงเพื่อให้เสร็จสมบูรณ์
Fix NTLDR หายไป Press Ctrl-Alt-Del เพื่อรีสตาร์ทข้อผิดพลาดใน Windows 10
แอปพลิเคชันล้มเหลวในการเริ่มต้นอย่างถูกต้อง (0xc0000135)
การติดตั้งล้มเหลวใน SAFE_OS phase ในระหว่าง BOOT operation
วิธีการเปลี่ยน Boot order ใน Windows 10
Fix Motherboard error code 99 บนคอมพิวเตอร์ Windows
วิธีการแก้ไข Start PXE มากกว่า IPv4 ใน Windows 11/10
สร้าง MultiBoot USB Flash Drive โดยใช้ YUMI Multiboot USB Creator