COVID-bit: a vezeték nélküli kémprogramok trükkje szerencsétlen névvel

Ha Ön rendszeres Naked Security olvasó, akkor valószínűleg kitalálja, merre tartunk ezen a virtuális úton…

…újra elutazunk az izraeli Negev Ben-Gurion Egyetem Szoftver- és Információs Rendszermérnöki Tanszékére.

A tanszék Kiberbiztonsági Kutatóközpontjának kutatói rendszeresen vizsgálják a biztonsági kérdéseket az ún légrésben hálózatokat.

Ahogy a neve is sugallja, a légrés hálózatot szándékosan leválasztják nemcsak az internetről, hanem minden más hálózatról is, még az ugyanabban a létesítményben lévő hálózatokról is.

Biztonságos, nagy biztonságú adatfeldolgozási terület (pontosabban a szomszédainál magasabb biztonságú terület, ahonnan az adatok nem jutnak ki könnyen) létrehozásához a légrés hálózatból semmilyen fizikai vezeték nem csatlakozik más hálózathoz. .

Ezenkívül az összes vezeték nélküli kommunikációs hardver jellemzően le van tiltva (és ideális esetben fizikailag eltávolítják, ha lehetséges, vagy véglegesen leválasztják vezetékek vagy áramköri lapnyomok elvágásával, ha nem).

Az ötlet az, hogy olyan környezetet hozzunk létre, ahol még akkor is, ha a támadóknak vagy az elégedetlen bennfenteseknek sikerült rosszindulatú kódokat, például kémprogramokat bejuttatniuk. bele a rendszert, nem találnák könnyűnek, sőt lehetségesnek sem az ellopott adataik visszaszerzését ki újra.

Nehezebb, mint amilyennek hangzik

Sajnos egy használható légrés hálózat létrehozása külső „adathézagok” nélkül nehezebb, mint amilyennek hangzik, és a Ben-Gurion Egyetem kutatói a múltban számos életképes trükköt írtak le, valamint azt, hogyan lehet ezeket enyhíteni.

Bizonyára elragadtatva és elragadtatva írtunk már számos alkalommal munkájukról, köztük olyan fura trükkökről, mint pl. GAIROSZKÓP (egy mobiltelefon iránytűjének chipjét nyers mikrofonná alakítva), LANTENNA (rádióantennaként vezetékes hálózati kábeleket használva) és a FANSMITTER (a CPU-ventilátor sebességének változtatása a rendszerterhelés megváltoztatásával egy audio „adatcsatorna” létrehozása érdekében).

A kutatók ezúttal a szerencsétlen és talán szükségtelenül zavaró nevet adták új trükkjüknek COVID-bit, Ahol VOC kifejezetten a „titkos” szót jelenti, és ezt csak találgatnunk kell ID-bit valami olyasmit jelent, mint az „információ nyilvánosságra hozatala, bitenként”.

Ez az adatkiszűrési séma a számítógép saját tápegységét használja jogosulatlan, mégis észlelhető és dekódolható rádióadások forrásaként.

A kutatók akár 1000 bit/sec titkos adatátviteli sebességet is állítanak (ami 40 évvel ezelőtt tökéletesen hasznos és használható betárcsázós modem sebesség volt).

Azt is állítják, hogy a kiszivárgott adatokat egy módosítatlan és ártatlannak tűnő mobiltelefon – akár az összes vezeték nélküli hardverét kikapcsolva – akár 2 méter távolságból is tudja fogadni.

Ez azt jelenti, hogy a biztonságos laboratóriumon kívüli bűntársak felhasználhatják ezt a trükköt, hogy gyanútlanul fogadják az ellopott adatokat, feltételezve, hogy a labor falai nincsenek kellően védve a rádiószivárgás ellen.

Szóval, íme, hogyan COVID-bit működik.

Az energiagazdálkodás, mint adatcsatorna

A modern CPU-k jellemzően változtatják működési feszültségüket és frekvenciájukat, hogy alkalmazkodjanak a változó terheléshez, így csökkentve az energiafogyasztást és megelőzve a túlmelegedést.

Sőt, egyes laptopok ventilátorok nélkül szabályozzák a processzor hőmérsékletét, szándékosan lelassítva a processzort, ha az túlságosan felmelegszik, és a frekvenciát és a feszültséget is beállítja, hogy csökkentse a hulladékhőt az alacsonyabb teljesítmény árán. (Ha valaha is azon töprengett, hogy az új Linux kernelek miért épülnek gyorsabban télen, ez lehet az oka.)

Ezt egy ügyes elektronikus eszköznek köszönhetik, amelyet SMPS-nek hívnak kapcsolóüzemű tápegység.

Az SMPS-ek nem használnak transzformátorokat és változó ellenállásokat a kimeneti feszültség változtatására, mint a régi időkben a régimódi, terjedelmes, nem hatékony, zajos hálózati adapterek.

Ehelyett állandó bemeneti feszültséget vesznek fel, és egy gyors kapcsolású tranzisztor segítségével alakítják át ügyes egyenáramú négyszöghullámmá a feszültség teljes be- és kikapcsolására, másodpercenként több százezertől millióig.

A meglehetősen egyszerű elektromos alkatrészek ezután ezt a feldarabolt egyenáramú jelet állandó feszültséggé alakítják, amely arányos a „be” és a „ki” fokozatok arányával a tisztán kapcsolt négyszöghullámban.

Lazán szólva képzeljünk el egy 12 V-os DC bemenetet, amely a másodperc 1/500,000 1-ére teljesen bekapcsolt, majd 250,000/12 1 másodpercre teljesen kikapcsolt, újra és újra, tehát az idő 3/0-ában 2 V-on van. 3 V-on a 1/3-a. Aztán képzeljük el, hogy ezt az elektromos négyszöghullámot egy induktor, egy dióda és egy kondenzátor „kisimítja” egy folyamatos egyenáramú kimenetre a csúcs bemeneti szint 4/XNUMX-án, így szinte tökéletesen egyenletes XNUMX V-os kimenetet produkál.

Amint el tudja képzelni, ez a kapcsolás és simítás az SMPS-en belüli áram és feszültség gyors változásait vonja maga után, ami viszont szerény elektromágneses mezőket hoz létre (egyszerűen fogalmazva, rádióhullámok).

És ahol elektromágneses szivárgás van, biztos lehet benne, hogy a Ben-Gurion Egyetem kutatói keresni fogják a módot arra, hogy ezt lehetséges titkos jelzőmechanizmusként használják fel.

De hogyan használhatja fel a másodpercenként milliószor átkapcsolódó SMPS rádiózajt arra, hogy a zajon kívül bármi mást közvetítsen?

Váltsa át a váltás sebességét

A trükk a szerint jelentést Mordechai Guri kutató által írt, a CPU terhelés hirtelen és drámai változtatása, de sokkal alacsonyabb frekvencián, az egyes CPU-magokon futó kódok tudatos megváltoztatásával másodpercenként 5000 és 8000 között.

A processzorterhelés változásainak szisztematikus mintázatának létrehozásával ezeken a viszonylag alacsony frekvenciákon…

…Guri képes volt becsapni az SMPS-t nagyfrekvenciás kapcsolási sebességének váltása oly módon, hogy alacsony frekvenciájú rádiómintákat generált, amelyek megbízhatóan észlelhetők és dekódolhatók.

Még jobb, mivel szándékosan generált elektromágneses „pszeudozaja” 0 Hz és 60 kHz között mutatkozott, így kiderült, hogy jól illeszkedik a hang digitalizálására és lejátszására használt átlagos laptop vagy mobiltelefon audiochip mintavételi képességeihez. zene.

(A kifejezés audio chip A fenti nem elírás, bár rádióhullámokról beszélünk, amint azt hamarosan látni fogja.)

Az emberi fül általában 20 kHz-ig képes hallani a frekvenciákat, és legalább kétszer akkora frekvenciával kell előállítania a kimeneti vagy rögzítési bemenetet, hogy megbízhatóan észlelje a hangrezgéseket, és így a magas frekvenciákat életképes hanghullámként reprodukálja. csak tüskék vagy DC-stílusú „egyenesek”.

CD mintavételi frekvenciák (kompakt lemezek, ha emlékszel rájuk) 44,100 XNUMX Hz-re voltak állítva emiatt, és a DAT (digitális hangszalag) nem sokkal ezután következett, hasonló, de kissé eltérő, 48,000 XNUMX Hz-es frekvencián alapulva.

Ennek eredményeként szinte minden ma használt digitális audioeszköz, beleértve a headsetet, mobiltelefont és podcast mikrofont is, támogatja a 48,000 384 Hz-es felvételi sebességet. (Egyes divatos mikrofonok magasabbra mennek, megduplázzák, megduplázzák, sőt meg is nyolcszorozzák ezt a frekvenciát egészen 48 kHz-ig, de a XNUMX kHz olyan sebesség, amelynél feltételezhető, hogy szinte minden kortárs digitális audioeszköz, még a legolcsóbb is, rekord.)

Ahol a hang és a rádió találkozik

A hagyományos mikrofonok a fizikai hangnyomást elektromos jelekké alakítják, így a legtöbb ember nem társítja a laptop vagy a mobiltelefon audiocsatlakozóját elektromágneses sugárzással.

De átalakíthatja mobiltelefonját hang- áramkört egy gyenge minőségű, alacsony frekvenciájú, kis teljesítményűvé rádió vevő vagy adó…

...egyszerűen úgy, hogy létrehoz egy „mikrofont” (vagy egy pár „fejhallgatót”), amely egy vezetékhurokból áll, bedugja az audio jack aljzatba, és hagyja, hogy rádióantennaként működjön.

Ha rögzíti azt a halvány elektromos „audio” jelet, amelyet a rá kitett elektromágneses sugárzás generál a huzalhurokban, akkor 48,000 XNUMX Hz-es digitális rekonstrukciót kap az „antennafon” csatlakoztatása közben felvett rádióhullámokról.

Tehát néhány okos frekvenciakódolási technikával olyan rádió „zajt” konstruált, amely végül is nem véletlenszerű zaj volt, Guri képes volt létrehozni egy rejtett, egyirányú adatcsatornát 100 bit/s és 1000 bit közötti adatsebességgel. mp, attól függően, hogy milyen típusú eszközön futott a CPU-terhelést módosító kód.

Guri megállapította, hogy az asztali PC-ket a legjobb minőségű „titkos rádióhullámok” előállítására lehet rávenni, 500 bit/sec hiba nélkül vagy 1000 bit/sec 1%-os hibaaránnyal.

A Raspberry Pi 3 200 bit/sec sebességgel tudott „küldeni” hiba nélkül, míg a tesztben használt Dell laptop 100 bit/sec.

Feltételezzük, hogy minél szorosabban vannak becsomagolva az áramkör és az alkatrészek egy eszközben, annál nagyobb az interferencia az SMPS áramkör által generált rejtett rádiójelekkel.

Guri azt is javasolja, hogy a laptop-osztályú számítógépeken jellemzően használt energiagazdálkodási vezérlők, amelyek elsősorban az akkumulátor élettartamának meghosszabbítását célozzák, csökkentik azt a mértéket, hogy a CPU-feldolgozási terhelés gyors változásai milyen mértékben befolyásolják az SMPS átkapcsolását, ezáltal csökkentve az SMPS adathordozó kapacitását. rejtett jelzés.

Nevertheless, 100 bits/sec is enough to steal a 256-bit AES key in under 3 seconds, a 4096-bit RSA key in about a minute, or 1 MByte of arbitrary data in under a day.

Mit kell tenni?

Ha biztonságos területet üzemeltet, és aggódik az ilyen típusú titkos kiszűrési csatornák miatt:

• Fontolja meg rádióárnyékolás hozzáadását a biztonságos területhez. Sajnos a nagy laboratóriumok számára ez költséges lehet, és jellemzően a labor tápvezetékeinek költséges leválasztásával, valamint a falak, padlók és mennyezetek fémhálóval történő árnyékolásával jár.
• Fontolja meg ellenőrző rádiójelek generálását. A rádióspektrum „elakadása” abban a frekvenciasávban, amelyet a közönséges audiomikrofonok képesek digitalizálni, mérsékelheti ezt a fajta támadást. Ne feledje azonban, hogy a rádiózavaráshoz az Ön országa szabályozói engedélyére lehet szükség.
• Fontolja meg a légrés növelését 2 méter fölé. Tekintse meg alaprajzát, és vegye figyelembe, hogy mi van a biztonságos labor mellett. Ne engedje, hogy a hálózat nem biztonságos részén dolgozó személyzet vagy látogató 2 méternél közelebb kerüljön a belső berendezésekhez, még akkor sem, ha fal van az útjában.
• Fontolja meg véletlenszerű extra folyamatok futtatását biztonságos eszközökön. Ez kiszámíthatatlan rádiózajt ad a rejtett jelek tetejére, ami megnehezíti azok észlelését és dekódolását. Amint azonban Guri megjegyzi, ez „csak abban az esetben” folyamatosan csökkenti a rendelkezésre álló feldolgozási teljesítményt, ami nem biztos, hogy elfogadható.
• Fontolja meg a CPU frekvencia zárolását. Egyes BIOS-beállítási eszközök lehetővé teszik ezt, és korlátozza a megtörtént áramváltás mértékét. Azonban Guri talált hogy ez valójában csak korlátozza a támadás hatótávját, és valójában nem szünteti meg.

Természetesen, ha nincs biztonságos terület, ami miatt aggódnia kell…

…akkor egyszerűen élvezheti ezt a történetet, miközben ne feledje, hogy megerősíti azt az elvet, hogy a támadások csak javulnak, és így az a biztonság valójában egy utazás, nem pedig egy úti cél.

---