COVID-bit: trik spyware nirkabel dengan nama yang tidak menguntungkan

Jika Anda adalah pembaca Keamanan Telanjang biasa, Anda mungkin dapat menebak ke mana tujuan planet kita dalam perjalanan virtual ini….

…kami berangkat sekali lagi ke Departemen Perangkat Lunak dan Teknik Sistem Informasi di Ben-Gurion University of the Negev di Israel.

Para peneliti di Pusat Penelitian Keamanan Cyber ​​​​departemen secara teratur menyelidiki masalah keamanan yang terkait dengan apa yang disebut celah udara jaringan.

Seperti namanya, jaringan airgapped sengaja diputus tidak hanya dari internet tetapi juga dari jaringan lain, bahkan yang berada di fasilitas yang sama.

Untuk membuat area pemrosesan data keamanan tinggi yang aman (atau, lebih tepatnya, area dengan keamanan lebih tinggi daripada area tetangganya di mana data tidak dapat dengan mudah keluar), tidak ada kabel fisik yang terhubung dari jaringan airgapped ke jaringan lain mana pun. .

Selain itu, semua perangkat keras komunikasi nirkabel biasanya dinonaktifkan (dan idealnya dilepas secara fisik jika memungkinkan, atau terputus secara permanen dengan memotong kabel atau jejak papan sirkuit jika tidak).

Idenya adalah untuk menciptakan lingkungan di mana meskipun penyerang atau orang dalam yang tidak terpengaruh berhasil menyuntikkan kode berbahaya seperti spyware ke sistem, mereka tidak akan merasa mudah, atau bahkan mungkin, untuk mendapatkan kembali data mereka yang dicuri di luar lagi.

Ini lebih sulit daripada kedengarannya

Sayangnya, membuat jaringan airgapped yang dapat digunakan tanpa "celah data" ke luar lebih sulit daripada kedengarannya, dan peneliti Universitas Ben-Gurion telah menjelaskan banyak trik yang dapat dilakukan, bersama dengan bagaimana Anda dapat menguranginya, di masa lalu.

Kami telah menulis, diakui dengan campuran daya tarik dan kesenangan, tentang pekerjaan mereka pada banyak kesempatan sebelumnya, termasuk trik gila seperti GAIROSKOP (mengubah chip kompas ponsel menjadi mikrofon kasar), LANTAI (menggunakan kabel jaringan kabel sebagai antena radio) dan PENGGEMAR PENGGEMAR (memvariasikan kecepatan kipas CPU dengan mengubah beban sistem untuk membuat "saluran data" audio).

Kali ini, para peneliti memberi trik baru mereka nama yang tidak menguntungkan dan mungkin membingungkan sedikit COVID, Di mana COV secara eksplisit terdaftar sebagai singkatan dari "rahasia", dan kita tinggal menebaknya bit ID singkatan dari sesuatu seperti "pengungkapan informasi, sedikit demi sedikit".

Skema eksfiltrasi data ini menggunakan catu daya komputer sendiri sebagai sumber transmisi radio yang tidak sah namun dapat dideteksi dan didekodekan.

Para peneliti mengklaim tingkat transmisi data rahasia hingga 1000 bit/detik (yang merupakan kecepatan modem dialup yang sangat berguna dan dapat digunakan 40 tahun yang lalu).

Mereka juga mengklaim bahwa data yang bocor dapat diterima oleh ponsel yang tidak dimodifikasi dan tampak polos – bahkan ponsel dengan semua perangkat nirkabelnya dimatikan – hingga jarak 2 meter.

Artinya, kaki tangan di luar lab yang aman mungkin dapat menggunakan trik ini untuk menerima data yang dicuri secara diam-diam, dengan asumsi bahwa dinding lab tidak terlindung dengan baik dari kebocoran radio.

Jadi, begini caranya sedikit COVID bekerja.

Manajemen daya sebagai saluran data

CPU modern biasanya memvariasikan voltase dan frekuensi operasinya untuk beradaptasi dengan perubahan beban, sehingga mengurangi konsumsi daya dan membantu mencegah panas berlebih.

Memang, beberapa laptop mengontrol suhu CPU tanpa memerlukan kipas, dengan sengaja memperlambat prosesor jika mulai terlalu panas, menyesuaikan frekuensi dan voltase untuk mengurangi limbah panas dengan mengorbankan kinerja yang lebih rendah. (Jika Anda pernah bertanya-tanya mengapa kernel Linux baru Anda tampaknya dibangun lebih cepat di musim dingin, mungkin inilah alasannya.)

Mereka dapat melakukan ini berkat perangkat elektronik yang rapi yang dikenal sebagai SMPS, kependekan dari catu daya mode sakelar.

SMPSes tidak menggunakan transformator dan resistansi variabel untuk memvariasikan tegangan keluarannya, seperti yang dilakukan adaptor daya kuno, besar, tidak efisien, dan buzzy di masa lalu.

Sebagai gantinya, mereka mengambil tegangan input yang stabil dan mengubahnya menjadi gelombang persegi DC yang rapi dengan menggunakan transistor sakelar cepat untuk menghidupkan dan mematikan tegangan sepenuhnya, di mana saja dari ratusan ribu hingga jutaan kali per detik.

Komponen listrik yang cukup sederhana kemudian mengubah sinyal DC cincang ini menjadi tegangan stabil yang sebanding dengan rasio antara berapa lama tahap "hidup" dan tahap "mati" berada dalam gelombang persegi yang diaktifkan dengan bersih.

Secara umum, bayangkan input DC 12V yang dihidupkan penuh selama 1/500,000 detik dan kemudian mati sepenuhnya selama 1/250,000 detik, berulang-ulang, jadi pada 12V untuk 1/3 waktu dan pada 0V untuk 2/3 dari itu. Kemudian bayangkan gelombang persegi listrik ini "dihaluskan" oleh induktor, dioda, dan kapasitor menjadi output DC kontinu pada 1/3 dari level input puncak, sehingga menghasilkan output 4V yang hampir sempurna.

Seperti yang dapat Anda bayangkan, peralihan dan perataan ini melibatkan perubahan arus dan tegangan yang cepat di dalam SMPS, yang pada gilirannya menciptakan medan elektromagnetik sederhana (sederhananya, gelombang radio) yang bocor melalui konduktor logam di perangkat itu sendiri, seperti jejak konduktor papan sirkuit dan kabel tembaga.

Dan di mana ada kebocoran elektromagnetik, Anda dapat yakin bahwa peneliti Universitas Ben-Gurion akan mencari cara untuk menggunakannya sebagai kemungkinan mekanisme pensinyalan rahasia.

Tapi bagaimana Anda bisa menggunakan derau radio SMPS yang beralih jutaan kali per detik untuk menyampaikan apa pun selain derau?

Beralih tingkat switching

Caranya, menurut a melaporkan ditulis oleh peneliti Mordechai Guri, adalah memvariasikan beban pada CPU secara tiba-tiba dan dramatis, tetapi pada frekuensi yang jauh lebih rendah, dengan sengaja mengubah kode yang berjalan pada setiap inti CPU antara 5000 dan 8000 kali per detik.

Dengan menciptakan pola perubahan beban prosesor yang sistematis pada frekuensi yang relatif rendah ini…

…Guri berhasil mengelabui SMPS mengganti tingkat peralihan frekuensi tingginya sedemikian rupa sehingga menghasilkan pola radio frekuensi rendah yang dapat dideteksi dan diterjemahkan dengan andal.

Lebih baik lagi, mengingat bahwa "pseudo-noise" elektromagnetik yang dibuatnya dengan sengaja muncul antara 0Hz dan 60kHz, ternyata selaras dengan kemampuan pengambilan sampel rata-rata chip audio laptop atau ponsel, yang digunakan untuk mendigitalkan suara dan memutar ulang. musik.

(Frasa chip audio di atas bukanlah salah ketik, meskipun kita berbicara tentang gelombang radio, seperti yang akan segera Anda lihat.)

Telinga manusia, seperti yang terjadi, dapat mendengar frekuensi hingga sekitar 20kHz, dan Anda perlu menghasilkan output atau merekam input setidaknya dua kali kecepatan itu untuk mendeteksi osilasi suara dengan andal dan dengan demikian mereproduksi frekuensi tinggi sebagai gelombang suara yang layak daripada itu. hanya paku atau "garis lurus" gaya DC.

Kecepatan sampling CD (cakram padat, jika Anda mengingatnya) ditetapkan pada 44,100Hz karena alasan ini, dan DAT (pita suara digital) menyusul segera setelahnya, berdasarkan frekuensi 48,000Hz yang serupa tetapi sedikit berbeda.

Akibatnya, hampir semua perangkat audio digital yang digunakan saat ini, termasuk headset, ponsel, dan mikrofon podcasting, mendukung kecepatan perekaman 48,000Hz. (Beberapa mikrofon mewah lebih tinggi, menggandakan, menggandakan, dan bahkan melipatgandakan kecepatan hingga 384kHz, tetapi 48kHz adalah kecepatan di mana Anda dapat mengasumsikan bahwa hampir semua perangkat audio digital kontemporer, bahkan yang termurah yang dapat Anda temukan, akan dapat melakukannya. catatan.)

Di mana audio bertemu radio

Mikrofon tradisional mengubah tekanan suara fisik menjadi sinyal listrik, sehingga kebanyakan orang tidak mengaitkan soket audio di laptop atau ponsel mereka dengan radiasi elektromagnetik.

Tetapi Anda dapat mengonversi ponsel Anda audio sirkuit menjadi berkualitas rendah, frekuensi rendah, daya rendah radio penerima atau pemancar…

…hanya dengan membuat “mikrofon” (atau sepasang “headphone”) yang terdiri dari loop kabel, menghubungkannya ke soket audio, dan membiarkannya berfungsi sebagai antena radio.

Jika Anda merekam sinyal "audio" elektrik samar yang dihasilkan dalam loop kabel oleh radiasi elektromagnetik yang dipancarkannya, Anda memiliki rekonstruksi digital 48,000Hz dari gelombang radio yang ditangkap saat "antenafon" Anda dicolokkan.

Jadi, dengan menggunakan beberapa teknik pengkodean frekuensi yang cerdas untuk membuat “noise” radio yang bukan hanya noise acak, Guri mampu membuat saluran data satu arah yang rahasia dengan kecepatan data mulai dari 100 bit/detik hingga 1000 bit/ detik, tergantung pada jenis perangkat yang menjalankan kode penyesuaian beban CPU.

PC desktop, Guri menemukan, dapat diakali untuk menghasilkan "gelombang radio rahasia" kualitas terbaik, memberikan 500 bit/detik tanpa kesalahan atau 1000 bit/detik dengan tingkat kesalahan 1%.

Raspberry Pi 3 dapat "mentransmisikan" pada 200 bit/detik tanpa kesalahan, sedangkan laptop Dell yang digunakan dalam pengujian mengelola 100 bit/detik.

Kami berasumsi bahwa semakin padat sirkuit dan komponen di dalam perangkat, semakin besar interferensi dengan sinyal radio rahasia yang dihasilkan oleh sirkuit SMPS.

Guri juga menyarankan bahwa kontrol manajemen daya yang biasanya digunakan pada komputer kelas laptop, ditujukan terutama untuk memperpanjang masa pakai baterai, mengurangi sejauh mana perubahan cepat dalam beban pemrosesan CPU memengaruhi peralihan SMPS, sehingga mengurangi kapasitas pembawa data dari komputer. sinyal rahasia.

Namun demikian, 100 bits/detik sudah cukup untuk mencuri kunci AES 256-bit dalam waktu kurang dari 3 detik, kunci RSA 4096-bit dalam waktu sekitar satu menit, atau 1 MByte data acak dalam waktu kurang dari satu hari.

Apa yang harus dilakukan?

Jika Anda menjalankan area aman dan khawatir tentang saluran eksfiltrasi terselubung semacam ini:

• Pertimbangkan untuk menambahkan pelindung radio di sekitar area aman Anda. Sayangnya, untuk laboratorium besar, ini bisa jadi mahal, dan biasanya melibatkan isolasi kabel catu daya laboratorium yang mahal serta melindungi dinding, lantai, dan langit-langit dengan jaring logam.
• Pertimbangkan untuk membuat sinyal radio kontra-pengawasan. "Mengganggu" spektrum radio dalam pita frekuensi yang dapat didigitalkan oleh mikrofon audio umum akan mengurangi serangan semacam ini. Namun, perhatikan bahwa gangguan radio mungkin memerlukan izin dari regulator di negara Anda.
• Pertimbangkan untuk meningkatkan celah udara Anda di atas 2 meter. Lihatlah denah lantai Anda dan pertimbangkan apa yang ada di sebelah lab aman. Jangan biarkan staf atau pengunjung yang bekerja di bagian jaringan Anda yang tidak aman mendekat lebih dari 2 m ke peralatan di dalamnya, bahkan jika ada tembok yang menghalangi.
• Pertimbangkan untuk menjalankan proses ekstra acak pada perangkat yang aman. Ini menambah kebisingan radio yang tidak dapat diprediksi di atas sinyal rahasia, membuatnya lebih sulit untuk dideteksi dan didekode. Namun, seperti yang dicatat Guri, melakukan ini "berjaga-jaga" mengurangi daya pemrosesan Anda yang tersedia sepanjang waktu, yang mungkin tidak dapat diterima.
• Pertimbangkan untuk mengunci frekuensi CPU Anda. Beberapa alat pengaturan BIOS memungkinkan Anda melakukan ini, dan ini membatasi jumlah peralihan daya yang terjadi. Namun, Guri ditemukan bahwa ini benar-benar hanya membatasi jangkauan serangan, dan tidak benar-benar menghilangkannya.

Tentu saja, jika Anda tidak memiliki area aman yang perlu dikhawatirkan…

…maka anda tinggal menikmati cerita ini, sambil mengingat bahwa itu memperkuat prinsip itu serangan hanya akan menjadi lebih baik, dan dengan demikian itu keamanan benar-benar sebuah perjalanan, bukan tujuan.

---