COVID-bit: 残念な名前のワイヤレス スパイウェア トリック

Naked Security の定期的な読者であれば、私たちがこの仮想の旅で地球上のどこに向かっているかを推測できるでしょう....

…再び、イスラエルのネゲブ ベングリオン大学のソフトウェアおよび情報システム工学科に向かいます。

部門のサイバーセキュリティ研究センターの研究者は、いわゆるセキュリティの問題を定期的に調査しています。 エアギャップ ネットワーク。

名前が示すように、エアギャップ ネットワークは、インターネットだけでなく、同じ施設内のネットワークであっても、他のネットワークから意図的に切断されます。

安全で高セキュリティなデータ処理エリア (より正確には、データが簡単に流出できない隣接エリアよりもセキュリティが高いエリア) を作成するために、エアギャップ ネットワークから他のネットワークへの物理的な配線は接続されていません。 .

さらに、すべてのワイヤレス通信ハードウェアは、通常は無効になっています (可能であれば物理的に取り外すか、そうでない場合はワイヤまたは回路基板のトレースを切断して永久に切断することが理想的です)。

これは、攻撃者や不満を持った内部関係者がスパイウェアなどの悪意のあるコードを挿入できたとしても、環境を作成することを目的としています。 に 盗まれたデータを取り戻すのは簡単ではなく、不可能でさえあります。 でる 再び。

思ったより難しい

残念ながら、外向きの「データの抜け穴」のない使用可能なエアギャップ ネットワークを作成することは、思ったよりも困難であり、過去にベングリオン大学のリチャージャーは、実行可能な多くのトリックと、それらを軽減する方法について説明しています。

私たちは、確かに魅力と喜びが混ざり合った状態で、彼らの仕事について以前に何度も書いてきました。 ガイロスコープ （携帯電話のコンパスチップを雑なマイクに変える）、 ランテナ (有線ネットワーク ケーブルを無線アンテナとして使用) および ファンミッター (システム負荷を変更して CPU ファン速度を変更し、オーディオ「データ チャネル」を作成します)。

今回、研究者たちは彼らの新しいトリックに不幸でおそらく不必要に紛らわしい名前を付けました 新型コロナウイルス感染症ビットここで、 COV 「隠密」の略として明示的にリストされており、それを推測することはできません IDビット 「情報開示、ビットバイビット」のようなものを表します。

このデータ漏洩スキームは、コンピュータ自体の電源を、不正ではあるが検出可能で解読可能な無線送信のソースとして使用します。

研究者は、最大 1000 ビット/秒 (40 年前には完全に有用で実用的なダイヤルアップ モデムの速度でした) の秘密データ伝送速度を主張しています。

彼らはまた、漏洩したデータは、最大 2 メートル離れたところにある、変更されていない無害に見える携帯電話 (すべてのワイヤレス ハードウェアがオフになっている携帯電話であっても) によって受信される可能性があると主張しています。

これは、安全なラボの外にいる共犯者がこのトリックを使用して、盗まれたデータを疑いなく受信できる可能性があることを意味します.

だから、これが方法です 新型コロナウイルス感染症ビット 作品。

データチャネルとしての電源管理

最新の CPU は通常、負荷の変化に適応するために動作電圧と周波数を変化させ、消費電力を削減し、過熱を防ぎます。

実際、一部のラップトップはファンを必要とせずに CPU の温度を制御します。プロセッサが過熱し始めた場合は意図的に速度を落とし、周波数と電圧の両方を調整してパフォーマンスの低下を犠牲にして廃熱を削減します。 (新しい Linux カーネルが冬に速く構築されるように見える理由を疑問に思ったことがあるなら、これが理由かもしれません。)

彼らは、SMPS として知られるきちんとした電子デバイスのおかげでこれを行うことができます。 スイッチモード電源.

SMPS は、出力電圧を変化させるために変圧器や可変抵抗を使用しません。これは、昔ながらの、かさばり、非効率的で、騒がしい電源アダプターのようにです。

代わりに、安定した入力電圧を取得し、高速スイッチングトランジスタを使用して電圧を完全にオンおよびオフにすることにより、XNUMX秒間に数十万回から数百万回、それをきちんとしたDC方形波に変換します。

次に、非常に単純な電気部品が、このチョップアップされた DC 信号を安定した電圧に変換します。この電圧は、きれいに切り替わった方形波の「オン」段階と「オフ」段階の間の比率に比例します。

大まかに言えば、12/1 秒間完全にオンになってから 500,000/1 秒間完全にオフになる 250,000V DC 入力を何度も想像してください。 12/1 は 3V です。 次に、この電気方形波がインダクタ、ダイオード、およびコンデンサによって「平滑化」されて、ピーク入力レベルの 0/2 で連続 DC 出力になり、3V のほぼ完全に安定した出力が生成されると想像してください。

ご想像のとおり、このスイッチングと平滑化には、SMPS 内の電流と電圧の急速な変化が伴い、それによって適度な電磁界が発生します (簡単に言えば、 電波回路基板の導体トレースや銅配線など、デバイス自体の金属導体を介して漏れます。

また、電磁漏洩がある場合、ベングリオン大学の研究者は、秘密の信号メカニズムの可能性としてそれを使用する方法を探していることは間違いありません.

しかし、XNUMX 秒間に何百万回もスイッチングする SMPS の無線ノイズを使用して、ノイズ以外のものを伝えるにはどうすればよいでしょうか?

スイッチング速度を切り替えます

によると、トリック レポート 研究者の Mordechai Guri によって書かれた方法は、各 CPU コアで実行されるコードを 5000 秒間に 8000 ～ XNUMX 回意図的に変更することで、CPU の負荷を突然かつ劇的に変化させますが、はるかに低い頻度で変化させます。

これらの比較的低い周波数でプロセッサ負荷の変化の体系的なパターンを作成することにより…

…Guri は SMPS をだまして 高周波スイッチング速度のスイッチング 確実に検出およびデコードできる低周波無線パターンを生成するような方法で。

さらに良いことに、彼が意図的に生成した電磁「疑似ノイズ」が 0Hz から 60kHz の間に現れたことを考えると、音声のデジタル化と再生に使用される平均的なラップトップまたは携帯電話のオーディオ チップのサンプリング能力とよく一致していることが判明しました。音楽。

（表現 オーディオチップ すぐにわかるように、電波について話しているにもかかわらず、上記はタイプミスではありません.)

たまたま、人間の耳は約 20kHz までの周波数を聞くことができます。音の振動を確実に検出し、高周波数を実行可能な音波として再生するには、少なくともその XNUMX 倍の速度で出力を生成するか、入力を記録する必要があります。スパイクまたは DC スタイルの「直線」だけです。

CD サンプリング レート (コンパクトディスク、あなたがそれらを覚えている場合) は、この理由で 44,100Hz に設定され、DAT (デジタルオーディオテープ) は、48,000Hz という同様だがわずかに異なるレートに基づいて、すぐ後に続きました。

その結果、現在使用されているほぼすべてのデジタル オーディオ デバイス (ヘッドセット、携帯電話、ポッドキャスティング マイクなど) は、48,000Hz の録音レートをサポートしています。 (高級マイクの中には、384kHz までレートを 48 倍、XNUMX 倍、さらには XNUMX 倍にするものもありますが、XNUMXkHz は、現在のほぼすべてのデジタル オーディオ デバイスが、たとえ最も安価なものであっても、記録。）

オーディオがラジオと出会う場所

従来のマイクは物理的な音圧を電気信号に変換するため、ほとんどの人はノートパソコンや携帯電話のオーディオ ジャックを電磁放射と関連付けません。

しかし、あなたの携帯電話の オーディオ 回路を低品質、低周波数、低電力に変換 ラジオ 受信機または送信機…

…ワイヤー ループで構成される「マイク」（または「ヘッドフォン」のペア）を作成し、それをオーディオ ジャックに差し込んで、ラジオ アンテナとして機能させるだけです。

ワイヤ ループがさらされた電磁放射によってワイヤ ループで生成される微弱な電気「オーディオ」信号を記録すると、「アンテナフォン」が接続されている間に受信された電波の 48,000Hz デジタル再構成が得られます。

そこで、巧妙な周波数符号化技術を使用して、単なるランダム ノイズではない無線「ノイズ」を構築することで、Guri はデータ レートが 100 ビット/秒から 1000 ビット/秒の秘密の一方向データ チャネルを作成することができました。秒、CPU負荷調整コードが実行されていたデバイスのタイプに応じて。

Guri は、デスクトップ PC がだまされて最高品質の「秘密の電波」を生成し、500 ビット/秒でエラーが発生しないか、1000 ビット/秒でエラー率が 1% になる可能性があることを発見しました。

Raspberry Pi 3 はエラーなしで 200 ビット/秒で「送信」できましたが、テストで使用された Dell ラップトップは 100 ビット/秒を管理しました。

回路とコンポーネントがデバイス内に密集しているほど、SMPS 回路によって生成される秘密の無線信号との干渉が大きくなると想定しています。

Guri はまた、主にバッテリ寿命を延ばすことを目的としたラップトップ クラスのコンピュータで一般的に使用される電源管理制御は、CPU 処理負荷の急激な変化が SMPS の切り替えに影響を与える範囲を減らし、その結果、コンピュータのデータ伝送容量を減らすことを示唆しています。秘密信号。

それにもかかわらず、100 ビット/秒は、256 ビット AES キーを 3 秒以内に、4096 ビット RSA キーを約 1 分以内に、または XNUMX MB の任意のデータを XNUMX 日以内に盗むのに十分です。

何をするか？

安全なエリアを運営していて、この種の秘密の流出チャネルが心配な場合:

• 安全なエリアの周りに無線シールドを追加することを検討してください。 残念なことに、大規模なラボの場合、これには費用がかかる可能性があり、通常、ラボの電源配線の高価な絶縁と、壁、床、および天井を金属メッシュでシールドする必要があります。
• 対監視無線信号の生成を検討してください。 一般的なオーディオ マイクがデジタル化できる周波数帯域で無線スペクトルを「妨害」することで、この種の攻撃を軽減できます。 ただし、電波妨害には、お住まいの国の規制当局からの許可が必要な場合があることに注意してください。
• エアギャップを 2 メートルより大きくすることを検討してください。 間取り図を見て、安全なラボの隣に何があるかを考慮してください。 ネットワークの安全でない部分で作業しているスタッフや訪問者は、たとえ壁があっても、内部の機器に 2 メートル以上近づかないようにしてください。
• 安全なデバイスでランダムな追加プロセスを実行することを検討してください。 これにより、隠れた信号に予測不可能な無線ノイズが追加され、検出とデコードが難しくなります。 ただし、Guri が指摘しているように、これを「万が一に備えて」実行すると、使用可能な処理能力が常に低下するため、許容できない場合があります。
• CPU 周波数をロックすることを検討してください。 一部の BIOS セットアップ ツールではこれを行うことができ、発生する電源切り替えの量が制限されます。 しかし、ぐり 発見 これは実際には攻撃の範囲を制限するだけであり、実際にそれを排除するわけではありません.

もちろん、心配する安全な場所がない場合は…

…それなら、この物語を楽しむことができます。 攻撃はますます良くなる、したがって、 セキュリティは実際には旅であり、目的地ではありません.

---