Wykradanie danych z odizolowanego od sieci komputera za pomocą wibracji wentylatora

Na czym polega AiR-ViBeR?

Technika o kryptonimie AiR-ViBeR jest najnowszą z długiej listy zwariowanych technik ekstrakcji danych opracowanych przez Mordechaja Guri, kierownika działu badań i rozwoju na Uniwersytecie Ben-Guriona w Negev w Izraelu. Poprzednią jego technikę opisywaliśmy tutaj. Przez ostatnie pół dekady Guri szukał nietypowych i niewykrywalnych metod przesyłania danych z komputerów odizolowanych sieciowo do świata zewnętrznego.

W badaniach Guri nie przygląda się sposobom na kompromitowanie i umieszczanie złośliwego oprogramowania w tych superbezpiecznych systemach, ale koncentruje się na innowacyjnych i nigdy wcześniej nie widzianych sposobach wydobywania danych. Metody te nie są wykrywalne nawet dla osób zajmujących się cyberbezpieczeństwem w sieci i w ogóle nikt nie jest ich świadom.

W swoich poprzednich badaniach Guri i jego zespół z Cyber-Security Research Center uniwersytetu Ben-Gurion wykazali, że osoby atakujące mogą wykraść dane z zabezpieczonych systemów przy użyciu wielu technik, takich jak:

• LED-it-Go – eksfiltracja danych z odizolowanego komputera za pomocą aktywności diody led dysku twardego
• USBee – metoda wymusza, aby szyna danych złącza USB emitowała emisje elektromagnetyczne, których można użyć do ekstrakcji danych
• AirHopper – metoda używa lokalnej karty GPU do wysyłania sygnałów elektromagnetycznych do pobliskiego telefonu komórkowego, również używanego do kradzieży danych
• Fansmitter – wykrada dane z systemu fizycznie odizolowanego od sieci za pomocą dźwięków emitowanych przez wentylator GPU komputera
• DiskFiltration – używa kontrolowanych operacji odczytu / zapisu na dysku twardym w celu kradzieży danych za pomocą fal dźwiękowych
• BitWhisper – wykrada dane z komputerów nie podłączonych do sieci za pomocą emitacji ciepła
• Unnamed attack – metoda używa płaskie skanery do przekazywania poleceń zainfekowanym komputerom PC lub do ekstrakcji danych z zainfekowanych systemów
• aIR-Jumper – używa funkcji podczerwieni kamery bezpieczeństwa do kradzieży danych z odizolowanych sieci
• xLED – używa diody LED routera lub przełącznika do ekstrakcji danych
• HVACKer – używa systemu HVAC do kontrolowania złośliwego oprogramowania w s wykrada dane z systemu fizycznie odizolowanego od sieci
• MAGNETO & ODINI – wykrada dane z systemu fizycznie odizolowanego od sieci chronionego klatką Faraday
• MOSQUITO – wykrada dane z systemu fizycznie odizolowanego od sieci za pomocą podłączonych głośników i słuchawek
• PowerHammer – wykrada dane z systemu fizycznie odizolowanego od sieci za pomocą linii energetycznych
• CTRL-ALT-LED – wykrada dane z systemu fizycznie odizolowanego od sieci za pomocą diod LED klawiatury
• BRIGHTNESS – wykrada dane z systemu fizycznie odizolowanego od sieci za pomocą zmian w jasności ekranu

Guri w nowych badaniach rozwinął swoją wcześniejszą pracę, używając metody, której jego zespół nie analizował wcześniej – czyli wibracji. Mówiąc dokładniej, przyjrzał się drganiom, które mogą być generowane za pomocą wentylatorów komputera, takich jak wentylatory procesora, wentylatory GPU, wentylatory zasilacza lub dowolny inny wentylator zainstalowany w obudowie komputera. Badacz stwierdził, że złośliwy kod umieszczony w zabezpieczonym systemie może kontrolować szybkość pracy wentylatorów. Poprzez ograniczenie prędkości wentylatora w górę i w dół atakujący może kontrolować częstotliwość drgań wychodzących z wentylatora.

Technika AiR-ViBeR pobiera poufne informacje przechowywane w systemie fizycznie oddzielonym od sieci, a następnie zmienia prędkość wentylatora, aby wygenerować wzór wibracji, który rozprzestrzenia się w pobliskim środowisku, takim jak biurko.

Czy ta metoda jest skuteczna?

Technika AiR-ViBeR z pewnością jest dość innowacyjnym osiągnieciem, lecz przesyłanie danych przez wibracje jest bardzo wolne. Jest ona jedną z najwolniejszych metod ekstrakcji, które Guri i jego zespół wymyślili w ostatnich latach (dane można wyekstrahować za pomocą wibracji z małą prędkością – pół bitu na sekundę). Chociaż atak AiR-ViBeR może zostać uznany za „wykonalny”, wysoce nierealistyczne jest, że osoby atakujące kiedykolwiek użyłyby go w realnych warunkach. Najprawdopodobniej wybrałyby inne techniki, które wydobywają informacje z większą prędkością.

Dodatkowe szczegóły techniczne dotyczące techniki AiR-ViBeR można znaleźć w białej księdze zatytułowanej „AiR-ViBeR: Ekstrakcja danych z komputerów z przerwami powietrznymi za pośrednictwem Covert Surface ViBrAtIoNs”.

Czy jest się czego obawiać?

Badanie tego tematu jest istotne, ponieważ komputery izolowane w sieciach lokalnych bez dostępu do Internetu są często używane w sieciach rządowych lub korporacyjnych do przechowywania poufnych danych, takich jak pliki niejawne lub własność intelektualna. Zwykli użytkownicy nie mają się czego obawiać w odniesieniu do AiR-ViBeR, ponieważ w Internecie znajdują się znacznie bardziej niebezpieczne zagrożenia. Jednak administratorzy super-bezpiecznych sieci odizolowanych od innych sieci najprawdopodobniej będą musieli wziąć pod uwagę najnowsze badanie Guri i wdrożyć niektóre środki zaradcze wymienione w artykule, jeśli uznają tę technikę za wiarygodne zagrożenie.