Cold Boot Attack คืออะไรและคุณจะปลอดภัยได้อย่างไร?

Cold Boot Attackเป็นอีกวิธีหนึ่งที่ใช้ในการขโมยข้อมูล สิ่งเดียวที่พิเศษคือสามารถเข้าถึงฮาร์ดแวร์คอมพิวเตอร์ของคุณหรือคอมพิวเตอร์ทั้งหมดได้โดยตรง บทความนี้กล่าวถึง Cold Boot Attack คืออะไร และจะปลอดภัยจากเทคนิคดังกล่าวได้อย่างไร

Cold-boot-โจมตี

Cold Boot Attack คืออะไร

ในCold Boot AttackหรือPlatform Reset Attackผู้โจมตีที่สามารถเข้าถึงคอมพิวเตอร์ของคุณได้ทางกายภาพจะทำการรีบูตเครื่องเพื่อรีสตาร์ทเครื่องเพื่อรับคีย์การเข้ารหัสจากระบบปฏิบัติการWindows

พวกเขาสอนเราในโรงเรียนว่าRAM ( Random Access Memory ) มีความผันผวนและไม่สามารถเก็บข้อมูลได้หากปิดเครื่องคอมพิวเตอร์ สิ่งที่พวกเขาควรจะบอกเราควรจะเป็น ... ไม่สามารถเก็บข้อมูลได้นานหากปิดเครื่อง(cannot hold data for long if the computer is switched off)คอมพิวเตอร์ นั่นหมายความว่าRAMยังคงเก็บข้อมูลตั้งแต่ไม่กี่วินาทีจนถึงสองสามนาทีก่อนที่ข้อมูลจะจางหายไปเนื่องจากไม่มีไฟฟ้าจ่าย ในช่วงเวลาสั้นๆ นี้ ใครก็ตามที่มีเครื่องมือที่เหมาะสมสามารถอ่านRAMและคัดลอกเนื้อหาไปยังที่จัดเก็บข้อมูลถาวรที่ปลอดภัยโดยใช้ระบบปฏิบัติการน้ำหนักเบาแบบอื่นบนแท่งUSB หรือการ์ด(USB)SD (SD Card)การโจมตีดังกล่าวเรียกว่าการโจมตีแบบโคลด์บูต

ลองนึกภาพคอมพิวเตอร์ที่วางอยู่โดยไม่มีใครดูแลในองค์กรสักสองสามนาที แฮ็กเกอร์คนใดเพียงแค่ต้องตั้งค่าเครื่องมือของเขาให้เข้าที่และปิดเครื่องคอมพิวเตอร์ เมื่อRAMเย็นลง (ข้อมูลค่อยๆ จางลง) แฮ็กเกอร์จึงเสียบปลั๊กUSB ที่สามารถบู๊ตได้ และบู๊ตผ่านทางนั้น เขาหรือเธอสามารถคัดลอกเนื้อหาไปยังสิ่งที่เหมือนกับแท่งUSB เดียวกันได้(USB)

เนื่องจากลักษณะของการโจมตีคือการปิดเครื่องคอมพิวเตอร์แล้วใช้สวิตช์เปิดปิดเพื่อรีสตาร์ท จึงเรียกว่าการบู๊ตแบบเย็น คุณอาจได้เรียนรู้เกี่ยวกับ cold boot และ warm boot ในช่วงเริ่มต้นใช้งานคอมพิวเตอร์ Cold boot คือที่ที่คุณเริ่มคอมพิวเตอร์โดยใช้สวิตช์เปิดปิด Warm Boot คือที่ที่คุณใช้ตัวเลือกในการรีสตาร์ทคอมพิวเตอร์โดยใช้ตัวเลือกรีสตาร์ทในเมนูปิดเครื่อง

แช่แข็ง RAM

นี่เป็นอีกหนึ่งกลอุบายสำหรับแฮกเกอร์ พวกเขาสามารถฉีดสารบางอย่าง (เช่นLiquid Nitrogen ) ลงบน โมดูล RAMเพื่อให้แข็งตัวทันที ยิ่งอุณหภูมิต่ำลงRAMก็ยิ่งเก็บข้อมูลได้ยาวนานขึ้น การใช้เคล็ดลับนี้ พวกเขา (แฮกเกอร์) สามารถทำCold Boot Attackและคัดลอกข้อมูลสูงสุดได้สำเร็จ ในการเร่งกระบวนการ พวกเขาใช้ไฟล์การทำงานอัตโนมัติบนระบบ(System) ปฏิบัติการน้ำหนักเบา บนUSB Sticksหรือการ์ด SD ที่บูททันทีหลังจากปิดเครื่องคอมพิวเตอร์ที่ถูกแฮ็ก

ขั้นตอนในการโจมตีแบบ Cold Boot

ไม่จำเป็นว่าทุกคนจะใช้รูปแบบการโจมตีที่คล้ายกับที่แสดงด้านล่าง อย่างไรก็ตาม ขั้นตอนทั่วไปส่วนใหญ่แสดงอยู่ด้านล่าง

  1. เปลี่ยน ข้อมูล BIOSเพื่ออนุญาตให้บูตจากUSBก่อน
  2. ใส่(Insert)USBที่สามารถบู๊ตได้ลงในคอมพิวเตอร์ที่มีปัญหา
  3. ปิดคอมพิวเตอร์โดยบังคับเพื่อไม่ให้โปรเซสเซอร์มีเวลาถอดคีย์การเข้ารหัสหรือข้อมูลสำคัญอื่นๆ รู้ว่าการปิดระบบอย่างเหมาะสมอาจช่วยได้ แต่อาจไม่สำเร็จเท่ากับการบังคับปิดเครื่องโดยการกดปุ่มเปิด/ปิดหรือวิธีอื่นๆ
  4. โดยเร็วที่สุด โดยใช้สวิตช์เปิด/ปิดเพื่อทำความเย็นให้คอมพิวเตอร์ที่กำลังถูกแฮ็ก
  5. เนื่องจากมีการเปลี่ยนแปลงการตั้งค่าBIOS ระบบปฏิบัติการบน แท่งUSB จึงถูกโหลด(USB)
  6. แม้ในขณะที่กำลังโหลดระบบปฏิบัติการนี้ ระบบปฏิบัติการจะทำงานอัตโนมัติเพื่อดึงข้อมูลที่จัดเก็บไว้ในRAM
  7. ปิดคอมพิวเตอร์อีกครั้งหลังจากตรวจสอบที่เก็บข้อมูลปลายทาง (ที่จัดเก็บข้อมูลที่ถูกขโมย) ถอดUSB OS Stickแล้วเดินออกไป

ข้อมูลใดที่มีความเสี่ยงในCold Boot Attacks

ข้อมูล/ข้อมูลที่มีความเสี่ยงโดยทั่วไปส่วนใหญ่ ได้แก่ คีย์การเข้ารหัสดิสก์และรหัสผ่าน โดยปกติ เป้าหมายของการโจมตีแบบ Cold Boot คือการดึงคีย์การเข้ารหัสดิสก์อย่างผิดกฎหมายโดยไม่ได้รับอนุญาต

สิ่งสุดท้ายที่จะเกิดขึ้นเมื่อปิดเครื่องอย่างเหมาะสมคือการถอดดิสก์ออกและใช้คีย์เข้ารหัสเพื่อเข้ารหัส ดังนั้นจึงเป็นไปได้ว่าหากคอมพิวเตอร์ปิดอย่างกะทันหัน ข้อมูลอาจยังใช้ได้อยู่

ป้องกันตัวเองจากCold Boot Attack

ในระดับส่วนบุคคล คุณสามารถตรวจสอบให้แน่ใจว่าคุณอยู่ใกล้คอมพิวเตอร์จนกว่าจะปิดเครื่องอย่างน้อย 5 นาที ข้อควรระวังอีกอย่างหนึ่งคือการปิดเครื่องอย่างถูกต้องโดยใช้เมนูปิดเครื่อง แทนที่จะดึงสายไฟหรือใช้ปุ่มเปิดปิดเพื่อปิดเครื่องคอมพิวเตอร์

คุณทำอะไรไม่ได้มากเพราะส่วนใหญ่ไม่ใช่ปัญหาซอฟต์แวร์ มีความเกี่ยวข้องกับฮาร์ดแวร์มากขึ้น ดังนั้นผู้ผลิตอุปกรณ์ควรใช้ความคิดริเริ่มในการลบข้อมูลทั้งหมดออกจากRAMโดยเร็วที่สุดหลังจากปิดคอมพิวเตอร์ เพื่อหลีกเลี่ยงและปกป้องคุณจากการโจมตีแบบ Cold boot

คอมพิวเตอร์บางเครื่องในขณะนี้เขียนทับRAMก่อนปิดเครื่องโดยสมบูรณ์ ยังคงมีความเป็นไปได้ของการปิดระบบโดยบังคับอยู่เสมอ

เทคนิคที่BitLockerใช้คือการใช้PINเพื่อเข้าถึงRAM แม้ว่าคอมพิวเตอร์จะถูกไฮเบอร์เนต (สถานะการปิดคอมพิวเตอร์) เมื่อผู้ใช้ปลุกเครื่องขึ้นมาและพยายามเข้าถึงสิ่งใดๆ อันดับแรก เขาหรือเธอจะต้องป้อนPINเพื่อเข้าถึงRAM วิธีนี้ไม่สามารถป้องกันการเข้าใจผิดได้ เนื่องจากแฮกเกอร์สามารถรับPIN ได้ โดยใช้วิธีใดวิธีหนึ่งของฟิชชิ่ง(Phishing)หรือวิศวกรรม(Social Engineering)สังคม

สรุป

ข้อมูลข้างต้นอธิบายว่าการโจมตีแบบ Cold boot คืออะไรและทำงานอย่างไร มีข้อ จำกัด บางประการเนื่องจากไม่สามารถเสนอการรักษาความปลอดภัย 100% ต่อการโจมตีแบบโคลด์บูตได้ แต่เท่าที่ฉันรู้ บริษัทรักษาความปลอดภัยกำลังทำงานเพื่อค้นหาวิธีแก้ไขที่ดีกว่าเพียงแค่เขียนRAM ใหม่ หรือใช้PINเพื่อปกป้องเนื้อหาของRAM

ตอนนี้อ่านแล้ว(Now read) : Surfing Attack(What is a Surfing Attack)คืออะไร?



จินดา สุรบดินทร์

About the author

ฉันเป็นช่างเทคนิคด้านเสียงและคีย์บอร์ดมืออาชีพที่มีประสบการณ์มากกว่า 10 ปี ฉันเคยทำงานในโลกธุรกิจ ในตำแหน่งที่ปรึกษาและผู้จัดการผลิตภัณฑ์ และล่าสุด เป็นวิศวกรซอฟต์แวร์ ทักษะและประสบการณ์ของฉันช่วยให้ฉันทำงานในโครงการประเภทต่างๆ ตั้งแต่ธุรกิจขนาดเล็กไปจนถึงบริษัทขนาดใหญ่ ฉันยังเป็นผู้เชี่ยวชาญใน Windows 11 และทำงานเกี่ยวกับระบบปฏิบัติการใหม่มานานกว่าสองปีแล้ว


Related posts