Izraelscy badacze odkryli, jak można wykorzystać wibracje wentylatora na procesorze, układzie GPU lub w komputerze PC do przesyłania skradzionych informacji. Użyli stałego przedmiotu (biurko) jako przekaźnika i byli w stanie odebrać dane z odizolowanego od sieci komputera za pomocą specjalnego odbiornika. Brzmi jak science-fiction, ale tak – jest to możliwe!
Często na Hack’u piszemy o wykradaniu danych. Nowe techniki coraz bardziej zaskakują nas samych. Nie tak dawno pisaliśmy o metodzie wykradania danych polegającej na migotaniu obrazu monitora
Jakiś czas temu opisywaliśmy też podobną metodę polegającą na kradzieży danych przez protokół RDP wyświetlając zakodowane treści w obrazach. Link do artykułu tutaj.
Tym razem naukowcy z izraelskiego uniwersytetu udowodnili, że możliwe jest wykorzystanie wentylatorów zainstalowanych wewnątrz komputera w celu wytworzenia kontrolowanych wibracji. Wibracje te można użyć do kradzieży danych z systemów, które nie są podłączone do jakiekolwiek sieci komputerowej.
Demo wykradania danych możecie zobaczyć na poniższym filmie.
Na czym polega AiR-ViBeR?
Technika o kryptonimie AiR-ViBeR jest najnowszą z długiej listy zwariowanych technik ekstrakcji danych opracowanych przez Mordechaja Guri, kierownika działu badań i rozwoju na Uniwersytecie Ben-Guriona w Negev w Izraelu. Poprzednią jego technikę opisywaliśmy tutaj.
Przez ostatnie pół dekady Guri szukał nietypowych i niewykrywalnych metod przesyłania danych z komputerów odizolowanych sieciowo do świata zewnętrznego.
W badaniach Guri nie przygląda się sposobom na kompromitowanie i umieszczanie złośliwego oprogramowania w tych superbezpiecznych systemach, ale koncentruje się na innowacyjnych i nigdy wcześniej nie widzianych sposobach wydobywania danych. Metody te nie są wykrywalne nawet dla osób zajmujących się cyberbezpieczeństwem w sieci i w ogóle nikt nie jest ich świadom.
W swoich poprzednich badaniach Guri i jego zespół z Cyber-Security Research Center uniwersytetu Ben-Gurion wykazali, że osoby atakujące mogą wykraść dane z zabezpieczonych systemów przy użyciu wielu technik, takich jak:
- LED-it-Go – eksfiltracja danych z odizolowanego komputera za pomocą aktywności diody led dysku twardego
- USBee – metoda wymusza, aby szyna danych złącza USB emitowała emisje elektromagnetyczne, których można użyć do ekstrakcji danych
- AirHopper – metoda używa lokalnej karty GPU do wysyłania sygnałów elektromagnetycznych do pobliskiego telefonu komórkowego, również używanego do kradzieży danych
- Fansmitter – wykrada dane z systemu fizycznie odizolowanego od sieci za pomocą dźwięków emitowanych przez wentylator GPU komputera
- DiskFiltration – używa kontrolowanych operacji odczytu / zapisu na dysku twardym w celu kradzieży danych za pomocą fal dźwiękowych
- BitWhisper – wykrada dane z komputerów nie podłączonych do sieci za pomocą emitacji ciepła
- Unnamed attack – metoda używa płaskie skanery do przekazywania poleceń zainfekowanym komputerom PC lub do ekstrakcji danych z zainfekowanych systemów
- aIR-Jumper – używa funkcji podczerwieni kamery bezpieczeństwa do kradzieży danych z odizolowanych sieci
- xLED – używa diody LED routera lub przełącznika do ekstrakcji danych
- HVACKer – używa systemu HVAC do kontrolowania złośliwego oprogramowania w s wykrada dane z systemu fizycznie odizolowanego od sieci
- MAGNETO & ODINI – wykrada dane z systemu fizycznie odizolowanego od sieci chronionego klatką Faraday
- MOSQUITO – wykrada dane z systemu fizycznie odizolowanego od sieci za pomocą podłączonych głośników i słuchawek
- PowerHammer – wykrada dane z systemu fizycznie odizolowanego od sieci za pomocą linii energetycznych
- CTRL-ALT-LED – wykrada dane z systemu fizycznie odizolowanego od sieci za pomocą diod LED klawiatury
- BRIGHTNESS – wykrada dane z systemu fizycznie odizolowanego od sieci za pomocą zmian w jasności ekranu
Guri w nowych badaniach rozwinął swoją wcześniejszą pracę, używając metody, której jego zespół nie analizował wcześniej – czyli wibracji.
Mówiąc dokładniej, przyjrzał się drganiom, które mogą być generowane za pomocą wentylatorów komputera, takich jak wentylatory procesora, wentylatory GPU, wentylatory zasilacza lub dowolny inny wentylator zainstalowany w obudowie komputera.
Badacz stwierdził, że złośliwy kod umieszczony w zabezpieczonym systemie może kontrolować szybkość pracy wentylatorów. Poprzez ograniczenie prędkości wentylatora w górę i w dół atakujący może kontrolować częstotliwość drgań wychodzących z wentylatora.
Technika AiR-ViBeR pobiera poufne informacje przechowywane w systemie fizycznie oddzielonym od sieci, a następnie zmienia prędkość wentylatora, aby wygenerować wzór wibracji, który rozprzestrzenia się w pobliskim środowisku, takim jak biurko.
Czy ta metoda jest skuteczna?
Technika AiR-ViBeR z pewnością jest dość innowacyjnym osiągnieciem, lecz przesyłanie danych przez wibracje jest bardzo wolne. Jest ona jedną z najwolniejszych metod ekstrakcji, które Guri i jego zespół wymyślili w ostatnich latach (dane można wyekstrahować za pomocą wibracji z małą prędkością – pół bitu na sekundę).
Chociaż atak AiR-ViBeR może zostać uznany za „wykonalny”, wysoce nierealistyczne jest, że osoby atakujące kiedykolwiek użyłyby go w realnych warunkach. Najprawdopodobniej wybrałyby inne techniki, które wydobywają informacje z większą prędkością.
Dodatkowe szczegóły techniczne dotyczące techniki AiR-ViBeR można znaleźć w białej księdze zatytułowanej „AiR-ViBeR: Ekstrakcja danych z komputerów z przerwami powietrznymi za pośrednictwem Covert Surface ViBrAtIoNs”.
Czy jest się czego obawiać?
Badanie tego tematu jest istotne, ponieważ komputery izolowane w sieciach lokalnych bez dostępu do Internetu są często używane w sieciach rządowych lub korporacyjnych do przechowywania poufnych danych, takich jak pliki niejawne lub własność intelektualna. Zwykli użytkownicy nie mają się czego obawiać w odniesieniu do AiR-ViBeR, ponieważ w Internecie znajdują się znacznie bardziej niebezpieczne zagrożenia. Jednak administratorzy super-bezpiecznych sieci odizolowanych od innych sieci najprawdopodobniej będą musieli wziąć pod uwagę najnowsze badanie Guri i wdrożyć niektóre środki zaradcze wymienione w artykule, jeśli uznają tę technikę za wiarygodne zagrożenie.