Исследователи передали данные с настольного ПК через вибрации по столу



    Группа учёных из университета имени Бен-Гуриона в Негеве (Израиль) изучает способы передачи информации с изолированных компьютеров (airgap). Они уже разработали методы передачи данных морганием светодиода HDD, маршуртизатора или клавиатуры, электромагнитным излучением с шины USB и с карты GPU, звуками кулера GPU и магнитной головки HDD, через тепловое излучение и аудиоколонки (в неслышимом диапазоне), по изменению энергопотребления ПК и яркости дисплея. Оказывается, этим список не ограничивается.

    13 апреля 2020 года учёные опубликовали описание новой атаки AiR-ViBeR с эксфильтрацией данных через вибрации вентилятора. Скорость передачи ниже, чем у других способов: всего 0,5 бит в секунду при закрытой крышке системного блока.

    Коллектив исследователей под руководством Мордехая Гури (Mordechai Guri) изучил вибрации, которые создают вентиляторы в системном блоке.


    Источник вибраций — дисбаланс, когда центр масс не совпадает с геометрическим центром вращения

    Исследователи разработали протокол передачи данных, основанный на изменении скорости вращения вентилятора — и, следовательно, вибраций. Метод получил кодовое название AiR-ViBeR.

    Изолированные системы в локальных сетях без доступа к интернету часто используются в государственных или корпоративных сетях для хранения конфиденциальных данных. Исследование Гури не рассматривает способы компрометации и внедрения вредоносных программ в эти сверхзащищённые системы, а вместо этого фокусируется на инновационных способах передачи информации такими способами, на которые не рассчитаны файрволы и системы безопасности.

    Вредоносный код, занесённый в систему жертвы, управляет скоростью работы вентилятора. В этом конкретном эксперименте пин FAN CONTROL с материнской платы подключили к пину GPIO12 на Raspberry Pi 3, а модуляцию сигнала путём изменения частоты вращения вентилятора выполнял питоновский скрипт.





    Сигнал принимается акселерометром смартфона, который лежит на расстоянии около метра от компьютера.

    Алгоритм демодуляции приведён ниже.



    Здесь у потенциального злоумышленника два варианта: он может или разместить свой смартфон недалеко от заражённого компьютера, или заразить смартфоны сотрудников, которые работают с этим компьютером. Датчики акселерометра в современных смартфонах доступны любому приложению, не требуя разрешения пользователя, что упрощает атаку, пишут исследователи.


    Приложение AiR-ViBeR на смартфоне приняло с компьютера секретное слово через вибрации стола

    Хотя атаку AiR-ViBeR можно считать теоретически возможной, крайне маловероятно, что её будут использовать в реальной жизни. Скорость передачи слишком мала, и злоумышленники лучше прибегнут к любому другому способу снятия информации с изолированного компьютера.


    Отношение сигнала к шуму в разных положениях приёмного устройства относительно источника сигнала (позиции показаны на фото вверху)

    Однако администраторам секретных систем следует иметь в виду теоретическую возможность передачи данных через вентилятор компьютера.


    Обычным пользователям вряд ли стоит опасаться этой угрозы. С такой скоростью текстовый документ будет передаваться от нескольких месяцев до года. За какой-то разумный срок можно передать разве что пароль или ключ шифрования.




    PKI-решения для предприятий. Подробности уточняйте у менеджеров +7 (499) 678 2210, sales-ru@globalsign.com.
    GlobalSign
    Компания

    Комментарии 19

      +4
      По-настоящему секретные данные частенько очень небольшие. Координаты пуска ракеты например
        0
        Такое проще и быстрее запомнить или записать на бумажке, чем устанавливать свое ПО на защищенный комп (кстати как? если комп изолирован, то скорее всего там заблокирована и возможность подключить свой носитель информации)
          0
          если комп изолирован, то скорее всего там заблокирована и возможность подключить свой носитель информации

          Иранская ядерная программа это не подтверждает (Stuxnet).
            0
            Иногда есть необходимость сотруднику записать инфу с «изолированного» компа или на него, то есть иметь доступ на чтение или даже на запись по USB. При этом второй комп сотрудника уже имеет выход в инет, пускай даже через корпоративный файрвол.
          +1

          Давным давно, больше 10 лет назад
          Когда я учился на безопасника
          У нас был предмет по ТЗКИ.
          Вёл его "бывший фсбэшник")
          Провел нам демонстрацию кейлогера.
          Подключил к обычной ps/2 клавиатуре питание. В другой комнате стоял аппарат подключённый к компу который снифал электромагнитное излучение от нажатия клавиш и переводил все это в скан-коды.
          Ну и многие другие вещи съема инфы демонстрировал)

            +1
            Я бы с удовольствием посмотрел, как он снифает инфу из кабинета с 20 клавиатурами, да и с десятком китайских светодиодных ламп. А, пардон, забыл пять-шесть зарядок для телефонов и не менее импульсных блоков питания всякой остальной фигни с примерно таким же качеством фильтрации.
              0

              Ну "больше десяти лет назад" — значит и китайских светодиодов еще не было в таком количестве, и кучи зарядок для телефонов тоже. Тогда только айфон первый вышел (или даже еще не вышел).

                0
                Я, собственно, о чём писал: демонстрация не равна применению.
              0
              Вёл его «бывший фсбэшник»)

              Бывших не бывает. :)
                0
                А вот у нас якобы провели люстрацию бывших сотрудников КГБ. Где они теперь работают — секрет.
              0
              Вообще, если удастся провернуть две настолько разные по векторам атаки — у атакуемой организации проблемы посерьезнее.
                +2

                В очередной раз у этих исследователей рядом с большими секретами можно расхаживать со смартфоном. Да боже ж мой, сфотай экран и иди дальше!

                  0
                  Ага. Если уж удалось пронести включенный смартфон, то зачем все эти сложности с вентилятором? :)
                    0
                    Ну я надеюсь вам не нужно обьяснять что и распбери пи никто в кулер устанавливать не будет? кулером вирус будет рулить а приёмник — какой-то микроскопический присталл с акселем прям в обручальном кольце, питающийся от термоэлемента и достаточно просто прийти в такой кабинет и положить ладонь на стол так чтоб дужка кольца дотронулась до стола и всё.
                    0
                    А есть больше инфы и по другим указанным способам передачи? А то прям заинтересовали.
                      0
                      Для начала, я бы рекомендовал: Хорев А.А — Защита информации от утечки по техническим каналам.

                      Специалистов (даже сейчас) начинают обучать с этого материала.
                      0
                      А авторам — большой респект, и огромное спасибо!
                      За то, что не позволяют забывать людям, что такое ИБ на самом деле.
                      «Нынешнее племя» про ПЭМИН уже ничего не знает.
                        0
                        Кому надо, те знают. Приходится знать, чтобы получить соответствующие лицензии.
                        А кто не знает, тому, значит, и не требуется. Иначе уже пришли бы дяди в виде комиссии и всё разъяснили.
                          0
                          Да, Вы правы. С такого угла не рассмотрел.

                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                      Самое читаемое