如果你的電腦沒有聯網,那麼是不是任何人都沒法竊取你的數據呢?事實並非如此。
互聯網充斥著各種各樣的安全威脅。因此,對於存有寶貴訊息或者控制重要流程的電腦,人們可能會採用一種非常極端的做法來保護它,即斷開它與互聯網的連接,甚至有可能斷開包括本地連接在內的所有網路連接。這種物理隔離方法被稱為隔離網閘(air gap)。
沒有網路連接那就沒有安全威脅了,是嗎?很不幸,事實並非完全如此,仍然有一些狡猾的手段可以從隔離網閘保護下的設備中竊取數據。在以色列本·古里安大學,Mordechai Guri博士帶領一支研究團隊專攻數據竊取技術,我們將為你解釋其研究成果並分析這一切對我們的影響。
如何跨越隔離網閘?
隔離網閘存在安全隱患早已不是什麼新聞,供應鏈攻擊和內部人員受到賄賂這些情況完全有可能發生。通過被感染過的閃存驅動發動簡單的攻擊,臭名昭著的Stuxnet(震網病毒)就是以此開始的。
好,讓我們假設物理隔離的電腦被感染了,但是在沒有互聯網連接的情況下,攻擊者是如何竊取數據的呢?
這就是到了在物理領域發揮創意的時候了,物理隔離的電腦無法通過網路向外發出任何訊號,但是它仍然可以產生熱量,磁場和聲音等。攻擊者正是通過這些並不顯著的信道來一點點”抽取”訊息。
超聲波
即便是一台沒有音響或者音頻設備的電腦,仍然可以通過改變電源供電頻率等方式發出20-24赫茲範圍內的聲音。此外,一台沒有獨立麥克風的設備也可能被用來監聽,因為攻擊者可以通過操縱揚聲器或者頭戴耳機從而實現同樣的功能。剛剛提到的聲波範圍(準確來說是18-24赫茲)位於人類的聽力範圍之外,這些聲波有各種各樣有趣的用途。例如,我們可以用其在家中”喚醒”智能音響。
在本文的情景中,攻擊者可以通過惡意軟體來感染電腦,從而將目標訊息編碼並通過超聲波來傳輸。然後攻擊者可以使用附近另一台被感染的設備(比如智能手機)接收超聲波,並將訊息傳送到外界。除此之外,研究人員還發現了其他一些利用風扇聲音和硬碟聲音的攻擊方式。
電磁
別忘了我們還有古老的電磁原理。電流可以產生電磁場,電磁場又可以被轉化回電訊號。通過控制電流,我們可以控制其對應的電磁場。掌握這些知識之後,攻擊者可以使用惡意軟體向顯示設備發送一系列訊號從而將顯示器的電纜轉化為天線。通過改變發送字節的數量和頻率,攻擊者相當於製作了一個無線電發射器,其發出的訊號可以用調頻接收器來接收。AirHopper使用的就是這個伎倆。
還有一種攻擊手段,攻擊者使用GSMem惡意軟體來入侵電腦內存總線並利用其發射訊號。和AirHopper類似,這種惡意軟體可以向內存總線發送特定序列的0和1比特,進而使其周邊電磁輻射產生變化。攻擊者可以利用這種變化來編碼訊息,然後使用一部支持GSM,UMTS或者LTE頻帶的手機來接受訊號,接收訊號的手機甚至不需要內置調頻無線電。
我們想表達說明的道理十分明確:電腦內部幾乎任何組件都可以用作天線。目前還有一些研究嘗試利用其他部件來傳輸數據,包括USB接口,通用輸入輸出接口和電源線等等。
磁
法拉第籠(Friday Cage)通常被認為是非常可靠的保護方式,因為它可以隔絕電磁輻射。而基於磁性的攻擊方式有一個顯著特點,那就是即便在法拉第籠中它們也可以生效。
使用基於磁性的攻擊方式來竊取數據時,攻擊者利用的是CPU產生的高頻磁輻射,這種輻射可以穿透金屬外殼。指南針基於這種磁輻射工作,因此它可以不受法拉第籠影響。研究人員發現,可以通過軟體來控制電腦處理器核心的負載,從而進一步控制它的磁輻射。他們聲稱僅需要在法拉第籠1.5米(或5英尺)的範圍內放置一個接收裝置即可接收訊號。在實驗中,他們的具體做法是將磁性傳感器連接到旁邊電腦的串行端口作為接收裝置。
光
任何電腦都有LED燈這個組件,即便是物理隔離的電腦也不例外。攻擊者同樣可以通過惡意軟體控制LED燈的閃爍,然後從物理隔離的電腦中竊取機密訊息。
攻擊者可以入侵室內的監控攝像頭,從而捕獲LED燈的閃爍所包含的訊息,這正是LED-it-GO和xLED等的工作原理。至於aIR-Jumper,它既把攝像頭用於滲入也將其用於滲出,因為這些攝像頭可以同時接收或者發出人眼不可見的紅外輻射。
熱力
物理隔離的電腦中還有一種意想不到的渠道可以用來傳輸數據,那就是熱量。電腦的處理器,顯卡,硬碟和各種外圍設備等絕大多數組件都可以使其內部空氣變熱。而且電腦也內置有溫度傳感器來防止機器過熱。
如果可以使用惡意軟體來改變一台物理隔離下的電腦的溫度,那麼便可以使用另一台聯網的設備記錄下溫度的變化並將其轉化為更有意義的數據,然後傳送出來。需要說明的是,如果兩台電腦想要通過熱訊號來交互,他們必須十分接近,距離必須在40公分或者16英寸之內。BitWhisper使用的就是上述這種攻擊方法。
震波
研究團隊研究的最後一種數據傳輸方式是震動。惡意軟體同樣可以改變電腦風扇的速度,只不過這次攻擊者不是用聲音,而是用震動來編碼訊息,他們只需要將一部智能手機放置在電腦主機表面,便可以使用帶有加速度計功能的應用程式來接收震波。
這個方法有一個缺點,它能夠可靠傳輸數據的速度非常緩慢,只有大約0.5bps,因此光是傳輸幾千字節便需要好幾天。可是,假如攻擊者不著急需要數據,那這種方式也完全行得通。
是時候開始擔憂了嗎?
首先說一個好消息,以上列出的數據竊取方法十分複雜,所以只有極少數的人會使用這些方法來竊取你的財務報表或者用戶數據庫。可是,如果有國外情報機構或者商業間諜對你的數據感興趣的話,你至少應該意識到危險的存在。
如何保持安全
防止機密訊息被竊取的一個簡單有效的方式是在物理隔離的室內禁止包括手機在內的一切不相干設備。如果這一點不可行,或者還需要額外的安全方案,可以考慮以下建議:
- 劃分出物理隔離的場所,在區域內保持設備間的距離(這聽起來挺像是科技版的社交隔離);
- 加固物理隔離的場所,或者將電腦放在法拉第籠中(雖然上述”磁”章節描述瞭如何突破這種防護);
- 測量並監控電腦磁輻射指標,留心任何異常;
- 限製或者禁止使用揚聲器;
- 關閉所有電腦音頻設備;
- 在物理隔離的場所內設立干擾聲波;
- 限制使用監控攝像頭的紅外功能(可是很不幸這會影響它在黑暗中的攝像效果);
- 降低LED燈光的可見性(用膠帶蓋住,斷開其連接,或者將其拆除);
- 在物理隔離區域內的電腦上禁用USB接口,防止惡意軟體感染。
除此之外,研究人員還指出,軟體級別的防護總是可以進一步提升隔離的程度。換句話說,你應該確保過已經安裝了可靠的安全解決方案來捕捉任何惡意行為。當使用物理隔離下的電腦來完成日常任務時(這種情況經常發生),可以將防護系統調成默認拒絕模式,這樣以來任何異常程式或進程的運行都會被自動禁止。
資料來源: https://www.kaspersky.com/blog/jumping-over-air-gap/35894/