Группа учёных из университета имени Бен-Гуриона в Негеве (Израиль) изучает способы передачи информации с изолированных компьютеров (airgap). Они уже разработали методы передачи данных морганием светодиода HDD, маршуртизатора или клавиатуры, электромагнитным излучением с шины USB и с карты GPU, звуками кулера GPU и магнитной головки HDD, через тепловое излучение и аудиоколонки (в неслышимом диапазоне), по изменению энергопотребления ПК и яркости дисплея. Оказывается, этим список не ограничивается.
13 апреля 2020 года учёные опубликовали описание новой атаки AiR-ViBeR с эксфильтрацией данных через вибрации вентилятора. Скорость передачи ниже, чем у других способов: всего 0,5 бит в секунду при закрытой крышке системного блока.
Коллектив исследователей под руководством Мордехая Гури (Mordechai Guri) изучил вибрации, которые создают вентиляторы в системном блоке.
Источник вибраций — дисбаланс, когда центр масс не совпадает с геометрическим центром вращения
Исследователи разработали протокол передачи данных, основанный на изменении скорости вращения вентилятора — и, следовательно, вибраций. Метод получил кодовое название AiR-ViBeR.
Изолированные системы в локальных сетях без доступа к интернету часто используются в государственных или корпоративных сетях для хранения конфиденциальных данных. Исследование Гури не рассматривает способы компрометации и внедрения вредоносных программ в эти сверхзащищённые системы, а вместо этого фокусируется на инновационных способах передачи информации такими способами, на которые не рассчитаны файрволы и системы безопасности.
Вредоносный код, занесённый в систему жертвы, управляет скоростью работы вентилятора. В этом конкретном эксперименте пин FAN CONTROL с материнской платы подключили к пину GPIO12 на Raspberry Pi 3, а модуляцию сигнала путём изменения частоты вращения вентилятора выполнял питоновский скрипт.
Сигнал принимается акселерометром смартфона, который лежит на расстоянии около метра от компьютера.
Алгоритм демодуляции приведён ниже.
Здесь у потенциального злоумышленника два варианта: он может или разместить свой смартфон недалеко от заражённого компьютера, или заразить смартфоны сотрудников, которые работают с этим компьютером. Датчики акселерометра в современных смартфонах доступны любому приложению, не требуя разрешения пользователя, что упрощает атаку, пишут исследователи.
Приложение AiR-ViBeR на смартфоне приняло с компьютера секретное слово через вибрации стола
Хотя атаку AiR-ViBeR можно считать теоретически возможной, крайне маловероятно, что её будут использовать в реальной жизни. Скорость передачи слишком мала, и злоумышленники лучше прибегнут к любому другому способу снятия информации с изолированного компьютера.
Отношение сигнала к шуму в разных положениях приёмного устройства относительно источника сигнала (позиции показаны на фото вверху)
Однако администраторам секретных систем следует иметь в виду теоретическую возможность передачи данных через вентилятор компьютера.
Обычным пользователям вряд ли стоит опасаться этой угрозы. С такой скоростью текстовый документ будет передаваться от нескольких месяцев до года. За какой-то разумный срок можно передать разве что пароль или ключ шифрования.
PKI-решения для предприятий. Подробности уточняйте у менеджеров +7 (499) 678 2210, sales-ru@globalsign.com.