Hacking&Security Workshop

ตอนนี้ MaYaSeVeN ได้ย้าย Blog ไปที่ http://blog.mayaseven.com


Friday, August 5, 2011

Cold Boot Attacks


โจมตีบูตเย็น ???? วันนี้จะนำเสนอเทคนิคในการโจมตีในระดับ Physical  Layer อีกเทคนิคหนึ่งซึ่งก็ไม่ได้เป็นเทคนิคที่ใหม่อะไรแต่อาจจะใหม่สำหรับคนทั่วไป

       นานมาแล้วหลังจากที่คอมพิวเตอร์ได้รับความนิยมอย่างแพร่หลายคนเราก็เริ่มเอางานเอาชีวิตเข้าไปเกี่ยวข้องกับคอมพิวเตอร์มากขึ้นทำให้คอมพิวเตอร์นั้นเป็นที่เก็บข้อมูลส่วนตัว,งาน,ข้อมูลที่มีความสำคัญ ต่างๆ เมื่อคอมพิวเตอร์นั้นกลายเป็นแหล่งเก็บข้อมูลที่สำคัญจึงเกิดความกังวลกันว่านอกจากจะโดนโจมตีผ่านเครือข่ายแล้วก็ยังมีโอกาส ที่คอมพิวเตอร์ของเราอาจจะถูกขโมยหรือสูญหายและในยุคที่ข้อมูลในคอมพิวเตอร์มีค่ามากกว่าคอมพิวเตอร์แล้วนั้น ถ้าข้อมูลเหล่านั้นถูกบุคคลอื่นนำไปใช้ประโยชน์ละก็ซวยย !! เช่น ที่เป็นข่าวภาพหลุด คลิปหลุด บลาๆๆ และถ้ามีข้อมูลธุรกรรมทางการเงินหรือเอกสารที่เป็นความลับ ก็จะเกิดความเสียมาก จึงได้มีบุคคลกลุ่มหนึ่งคิดวิธีเข้ารหัสในลักษณะ Disk Encryption ซึ่งก็มีหลายโปรแกรมในปัจจุบันที่ทำงานเข้ารหัสลักษณะนั้น ซึ่งแน่นอนมันช่วยเวลาที่เครื่องคอมพิวเตอร์หาย เพราะคนที่ได้เครื่องไปนั้นไม่สามารถอ่านข้อมูลได้ถ้าไม่มี Key ซึ่งมันก็แลดูปลอดภัยดีจนได้จนได้เกิดเกิดเทคนิคการโจมตีที่ชื่อว่า Cold Boot Attacks ซึ่งเทคนิดนี้เป็นการโจมตีในระดับ Physical  Layer เมื่อผู้โจมตีได้เครื่องมาแล้วสิ่งที่เขาพยายามทำคือพยายาม Dump ข้อมูลที่อยู่ใน Ram !!! เพราะข้อมูลที่อยู่ใน Ram นั้นมีข้อมูลหรือ Key ที่สามารถทำให้ผู้โจมตีเข้าถึงข้อมูลของเหยื่อได้(แล้วแต่วิธีการที่โปรแกรมเข้ารหัสใช้) โดยวิธีโจมตีนั้นคือการฉีดสารหล่อเย็นใส่ Ram เพื่อยืดเวลาข้อมูลที่อยู่ใน Ram ไม่ให้ข้อมูลหายเมื่อไม่มีไฟเลี้ยงแล้วนำไป Dump หรือใช้วิธีการ Shutdown ที่ไม่ถูกต้องเพื่อ Dump ข้อมูลใน Ram จาก Rom ภายนอกบนเครื่องเหยื่อโดยตรง วิดีโอประกอบ



วิธีป้องกันเมื่อจำเป็นต้องทิ้งคอมไว้ให้ Shutdown แล้วรอจนมัน Shutdown เสร็จ แล้วให้มั่นใจว่า Pagefile ได้ถูก Clear แล้วจากการ Shutdown เพราะระหว่าง Shutdown นั้นก็สามารถถูกฉีดสารหล่อเย็นเพื่อยืดอายุข้อมูลใน Ram ได้
อีกวิธีหนึ่งคือเก็บ Key ไว้ใน CPU Cache แทนใน Ram

ปล. DRam จริงๆแล้วมันก็คือแถวเรียงของ Capacitors เมื่อ RAM เกิดการเขียนข้อมูลมันก็จะชาร์จประจุเข้าไปเมื่อไม่มีไฟเลี้ยงมันก็จะกลับสู่ Ground state

ภาคผนวก :

เอกลักษณ์รูปแบบ Key ของ AES ที่อยู่ใน Ram

ข้อมูลในRamเริ่มสูญเสียเมื่อเวลาผ่านไป



Written by MaYaSeVeN
References :
http://www.eruces.com/index.php/readaboutmenu/87-cold-boot-attacks-tricryption-mitigations-to-dram-encryption-key-vulnerabilities
http://tkwan9-research.blogspot.com/
http://www.lorentzcenter.nl/lc/web/2010/383/presentations/Heninger.pdf
http://www.engadget.com/2008/02/21/cold-boot-disk-encryption-attack-is-shockingly-effective/