TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
นักวิจัยด้านความมั่นคงปลอดภัยจาก F-Secure ได้พบวิธีการที่จะขโมยข้อมูลที่อยู่ใน RAM หลังจากที่คอมพิวเตอร์เข้าสู่โหมด Sleep และทำให้บูตเครื่องกลับมาใหม่ผ่าน External Device โดยนักวิจัยได้ทำวีดีโอสาธิตถึงวิธีการดังกล่าวว่าใช้เวลาเพียงไม่ถึง 2 นาทีก็สามารถขโมยรหัสผ่านได้
Cold-Boot Attack ถูกคิดค้นครั้งแรกเมื่อเมื่อหลายปีแล้วโดยต้องเข้าถึงตัวเครื่องได้เชิงกายภาพ หลักการก็คือข้อมูลใน RAM ยังคงอยู่ได้ระยะเวลาหนึ่งอาจจะหลายนาทีโดยปราศจากพลังงานไฟฟ้า ถ้าหากทำให้อุปกรณ์มีอุณหภูมิต่ำพอ ซึ่งต่อมา Trusted Computing Group (เกิดจากการรวมตัวกันของ AMD, Intel, IBM, HP และ Microsoft) ได้คิดค้นการแก้ปัญหาด้วยการเขียนทับ RAM เมื่อไฟฟ้ากลับคืนมา (วิธีการชื่อ MORLock หรือ Memory Overwirte Request Control) อย่างไรก็ตามทีมนักวิจัยจาก F-secure ได้พบวิธีการโปรแกรมส่วนของชิปหน่วยความจำส่วนเก็บคำสั่งเขียนทับขึ้นใหม่ทำให้ปิดกระบวนการนี้ได้และให้บูตเครื่องผ่าน External Device เช่น USB เพื่อดึงและวิเคราะห์เอาข้อมูลที่อยู่ใน RAM ออกมา
ผลลัพธ์คือการโจมตีครั้งใหม่นี้จะทำงานได้ดีกับคอมพิวเตอร์ที่อยู่ในโหมด Sleep เพราะมีการเก็บค่าไว้ใน RAM แต่ยังมีพลังงานต่ำเพื่อหล่อเลี้ยงข้อมูล ซึ่งต่างกับการปิดเครื่องหรือโหมด Hibernation ที่ตัดไฟไปเลยทำให้ข้อมูลหายไปไวกว่า โดยเทคนิคนี้สามารถขโมยข้อมูลในหน่วยความจำได้ เช่น กุญแจเข้ารหัสฮาร์ดไดร์ฟ เป็นต้น สามารถดูวิดีโอสาธิตได้ตามด้านล่าง อย่างไรก็ตามถ้ามีการตั้งค่าพิสูจน์ตัวตนด้วย PIN ไว้ก่อนทำการบูตจะทำให้โอกาสโจมตีสำเร็จนั้นลดลงอย่างมีนัยสำคัญ
ในการป้องกันตัวเองนักวิจัยแนะนำว่าควรตั้งค่า Hibernate หรือ ปิดเครื่องไปเลย อย่าใช้ Sleep mode รวมถึงตั้งการพิสูจน์ตัวตนก่อนอนุญาตให้บูตเครื่อง สำหรับฝั่ง Microsoft ได้สนองตอบด้วยการเตือนผู้ใช้ว่า MOR bit นั้นไม่เพียงพออีกต่อไปให้ผู้ใช้งานปฏิบัติตามขั้นตอนได้ ที่นี่ ขณะเดียวกันฝั่งของ Apple เองยืนยันว่ามีชิป T2 ที่ใช้เข้ารหัสต่างหากจาก CPU ซึ่งทำให้การโจมตีนั้นเป็นไปได้ยาก โดยการโจมตีนี้เกิดขึ้นได้ยากในทางปฏิบัติเพราะต้องเข้าถึงเครื่องเป้าหมายอย่างเจาะจงแต่นักวิจัยก็ยืนยันว่ามีโอกาสทำได้ดังนั้นผู้ใช้งานจึงควรใส่ใจ
