Nguy cơ gây ra bởi tấn công phân tích RAM
Lấy cắp mật khẩu và khóa mã: Tấn công phân tích RAM có thể tiết lộ các mật khẩu và khóa mã đang được sử dụng bởi hệ thống. Khi người dùng đăng nhập vào các dịch vụ trực tuyến hoặc các ứng dụng, thông tin này có thể bị lấy đi.
Truy cập dữ liệu nhạy cảm: Tin tặc có thể truy cập và đọc dữ liệu nhạy cảm như thông tin cá nhân, tài liệu quan trọng hoặc thông tin tài chính trong RAM.
Sửa đổi dữ liệu: Không chỉ có việc đánh cắp thông tin mà tấn công phân tích RAM cũng có thể cho phép tin tặc sửa đổi dữ liệu trong RAM để gây sai lệch dữ liệu hoặc tạo ra thông tin giả mạo.
Khai thác lỗ hổng bảo mật: Tấn công phân tích RAM có thể được sử dụng để tận dụng các lỗ hổng bảo mật trong hệ thống. Tin tặc có thể tìm và khai thác các lỗ hổng này để tiến hành các cuộc tấn công khác.
Các hình thức tấn công phân tích RAM
Tấn công khởi động nguội (Cold Boot Attack): đây là một kiểu tấn công kênh kề, nó cho phép tin tặc có thể truy cập vật lý đối với một máy tính để thực hiện truy cập bộ nhớ từ RAM. Về cơ bản, phương pháp này được thực hiện để lấy key mã hóa nhờ sử dụng một hệ điều hành hay thiết bị chuyên biệt dành cho điều tra. Kiểu tấn công này dựa theo tính chất vật lí khi dữ liệu được lưu trữ trên DRAM và SRAM để có thể thu thập được dữ liệu trước khi bị mất hoàn toàn sau vài giây khi nguồn điện bị ngắt. Tin tặc có thể thu thập dữ liệu trong RAM, bao gồm mật khẩu hoặc khóa mã.
Tấn công bởi người giúp việc (Evil Maid Attack): đây là kiểu tấn công mà tin tặc có thể truy cập vật lý vào máy tính giống như hành động của một người giúp việc với mục đích xấu trong khi dọn dẹp đã tranh thủ sử dụng dụng cụ của mình để cài đặt phần mềm độc hại vào máy tính của nạn nhân. Bằng cách truy cập vật lý như sử dụng USB hoặc các phương tiện trung gian để truy cập vào RAM, tin tặc có thể cài đặt phần mềm để theo dõi việc sử dụng của nạn nhân và thu thập dữ liệu, ngay cả những thông tin được mã hóa.
Tấn công truy cập bộ nhớ trực tiếp (DMA Attacks): là một kiểu tấn công mạng cho phép tin tặc truy cập trực tiếp vào bộ nhớ của máy tính. Các cuộc tấn công DMA tận dụng một tính năng của các máy tính hiện đại cho phép một số thiết bị nhất định, chẳng hạn như ổ cứng ngoài, card đồ họa hoặc card mạng truy cập trực tiếp vào bộ nhớ của máy tính mà không cần sự tham gia của bộ xử lý. Điều này có thể hữu ích để cải thiện hiệu suất nhưng nó cũng tạo ra lỗ hổng bảo mật tiềm ẩn. Tin tặc có thể tận dụng các thiết bị ngoại vi đó để thu thập dữ liệu từ RAM.
Tấn công sử dụng phần mềm độc hại: đây là hình thức tấn công mạng lừa đảo, bằng việc gửi các phần mềm độc hại đến người dùng qua các phương tiện khác nhau. Trong đó có các hình thức đang được sử dụng nhiều như sử dụng các URL độc hại đánh lừa người dùng nhầm tưởng rằng họ đang truy cập vào ngân hàng hoặc các dịch vụ khác. Trong tấn công này, kẻ tấn công sử dụng phầm mềm độc hại để truy cập và đọc thông tin nhạy cảm từ bộ nhớ RAM của máy tính, chẳng hạn như số thẻ tín dụng hoặc thông tin cá nhân của người dùng trong quá trình giao dịch thanh toán. Kẻ tấn công sau đó có thể sử dụng thông tin này để thực hiện giao dịch gian lận hoặc đánh cắp thông tin cá nhân của người dùng.
Để bảo vệ dữ liệu cá nhân hoặc tổ chức khỏi các cuộc tấn công phân tích RAM cần áp dụng các biện pháp bảo vệ cơ bản và tiên tiến. Dưới đây là một số biện pháp bảo vệ dữ liệu trước cuộc tấn công phân tích RAM:
Mã hóa Dữ liệu trong RAM: Sử dụng mã hóa dữ liệu trong RAM để bảo vệ thông tin quý báu khỏi việc thu thập trái phép. Mã hóa RAM có thể được thực hiện bằng cách sử dụng các phần mềm mã hóa như Windows BitLocker, VeraCrypt; CipherTrust Transparent Encryption; SentryBay Data Protection Suite,... hoặc sử dụng phần cứng mã hóa (Intel Software Guard Extensions; AMD Memory Guard; HyperSecuRE).
Sử dụng phần cứng bảo vệ: Các công nghệ bảo mật như Trusted Platform Module (TPM) có thể được sử dụng để bảo vệ khỏi tấn công phân tích RAM. TPM lưu trữ các khóa mã hóa và cung cấp quá trình xác thực bảo mật.
Cập nhật hệ thống ứng dụng: Cập nhật hệ điều hành và các ứng dụng thường xuyên để loại bỏ lỗ hổng bảo mật. Việc cập nhật giúp bảo vệ hệ thống trước các cuộc tấn công sử dụng các lỗ hổng đã biết.
Sử dụng máy ảo an toàn (VM): Sử dụng máy ảo an toàn để cách ly các quy trình và bảo vệ dữ liệu. Máy ảo an toàn giúp ngăn chặn tấn công từ một máy ảo sang máy ảo khác.
Giám sát hoạt động hệ thống: Theo dõi các hoạt động hệ thống có thể giúp phát hiện và đối phó với các tấn công phân tích RAM sớm. Sử dụng các công cụ giám sát và hệ thống cảnh báo (OSSEC, Snort, Suricata, Sysmon, Carbon Black). Các công cụ này giúp tăng cường bảo mật bằng cách cung cấp khả năng giám sát và cảnh báo về các hoạt động không bình thường hoặc độc hại trong bộ nhớ RAM của hệ thống.
Mã hóa vùng nhạy cảm của RAM: Mã hóa chỉ các vùng nhạy cảm của RAM để tăng cường bảo mật. Thông tin quý báu được lưu trữ trong các vùng này được bảo vệ khỏi truy cập trái phép.
Quản lý thông tin danh tính và quyền truy cập: Quản lý thông tin danh tính và quyền truy cập người dùng để kiểm soát người dùng và quyền truy cập vào hệ thống. Điều này giúp ngăn chặn tấn công từ các nguồn không được ủy quyền.
Kiểm tra hệ thống để phát hiện sự thay đổi: Thực hiện kiểm tra hệ thống định kỳ để phát hiện sự thay đổi không bình thường trong cấu hình hoặc tệp tin của hệ thống. Sự thay đổi có thể là dấu hiệu của tấn công.
Giáo dục và tạo ý thức an ninh: Đào tạo người dùng và nhân viên về những nguy cơ của tấn công phân tích RAM và cách ngăn chặn chúng. Điều này giúp tạo ra ý thức an ninh trong tổ chức.
Sử dụng tường lửa mạng và giám sát luồng dữ liệu: Sử dụng tường lửa mạng để kiểm soát luồng dữ liệu vào và ra khỏi hệ thống. Giám sát luồng dữ liệu có thể giúp phát hiện các hoạt động đáng ngờ.
Bộ nhớ RAM chứa các thông tin quan trọng như mật khẩu, khóa mã, khóa phiên và nhiều dữ liệu khác, do đó trở thành một trong những mục tiêu chính của tin tặc. Tấn công phân tích RAM có thể dẫn đến việc tiết lộ thông tin, sửa đổi dữ liệu, hoặc khai thác các lỗ hổng bảo mật trong hệ thống, làm nó trở thành một hình thức tấn công bảo mật đặc biệt nguy hiểm, tập trung vào việc truy cập, sửa đổi hoặc đánh cắp thông tin người dùng. Bài viết này sẽ phân tích các rủi ro, phương pháp tấn công phân tích RAM và các biện pháp bảo vệ cần thiết để ngăn chặn các hoạt động tấn công này.
Nguyễn Như Chiến - Học viện Kỹ thuật mật mã
08:00 | 17/06/2024
08:00 | 06/06/2024
14:00 | 22/12/2022
14:00 | 31/05/2024
Song hành cùng với sự phát triển của công nghệ thông tin thì việc phòng, chống tội phạm cũng đã có những bước tiến mạnh mẽ về công nghệ. Đồng thời cũng tồn tại nhiều bài toán khó và một trong số đó là việc nhận diện nhanh chóng tội phạm, đối tượng tình nghi ở những địa điểm công cộng như bến xe, bến tàu, nhà ga, sân bay,… Giải quyết được bài toán này càng sớm càng tốt sẽ mang lại rất nhiều ý nghĩa trong công tác phòng, chống tội phạm. Bài báo sẽ giới thiệu một giải pháp nhận dạng mặt người dựa trên giải thuật Adaboost và các đặc trưng Haar-like qua đó giúp quá trình phát hiện tội phạm chính xác và nhanh chóng hơn.
10:00 | 17/05/2024
Mã độc không sử dụng tệp (fileless malware hay mã độc fileless) còn có tên gọi khác là “non-malware”, “memory-based malware”. Đây là mối đe dọa không xuất hiện ở một tệp cụ thể, mà thường nằm ở các đoạn mã được lưu trữ trên RAM, do vậy các phần mềm anti-virus hầu như không thể phát hiện được. Thay vào đó, kẻ tấn công sử dụng các kỹ thuật như tiêm lỗi vào bộ nhớ, lợi dụng các công cụ hệ thống tích hợp và sử dụng các ngôn ngữ kịch bản để thực hiện các hoạt động độc hại trực tiếp trong bộ nhớ của hệ thống. Bài báo tìm hiểu về hình thức tấn công bằng mã độc fileless và đề xuất một số giải pháp phòng chống mối đe dọa tinh vi này.
10:00 | 08/05/2024
Trong thời đại công nghệ phát triển ngày nay, việc tiếp xúc với môi trường trực tuyến đã trở nên rất phổ biến. Điện thoại thông minh không chỉ là công cụ để chúng ta có thể liên lạc với con cái, mà còn mở ra cơ hội cho trẻ tiếp cận kiến thức và giải trí một cách bổ ích, miễn là người lớn biết cách hướng dẫn chúng một cách đúng đắn. Thay vì kiểm soát, hãy tìm cách để thiết lập điện thoại sao cho phù hợp, từ đó đảm bảo an toàn cho trẻ em trên môi trường mạng. Bài báo sau đây sẽ hướng dẫn độc giả đặc biệt là các phụ huynh cách thiết lập quản lý việc sử dụng điện thoại thông minh (hệ điều hành Android) của con mình một cách hiệu quả và an toàn.
09:00 | 28/04/2024
Không chỉ tác động đến lĩnh vực an toàn thông tin, Bug Bounty còn được cho là cổ vũ cho nền kinh tế Gig Economy kiểu Orwell. Điều này có là một góc nhìn tiêu cực cho hình thức bảo mật này?
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Trong thời đại số hóa mạnh mẽ, khi các mối đe dọa an ninh mạng ngày càng trở nên tinh vi và khó lường, mô hình bảo mật Zero Trust nổi lên như một chiến lược phòng thủ vững chắc, giúp các tổ chức/doanh nghiệp đối phó với những cuộc tấn công mạng ngày càng gia tăng.
13:00 | 07/10/2024