COVID-bit: 불행한 이름을 가진 무선 스파이웨어 속임수

일반 Naked Security 독자라면 이 가상 여행에서 우리가 어디로 향하고 있는지 짐작할 수 있을 것입니다…

…이스라엘 네게브 벤 구리온 대학의 소프트웨어 및 정보 시스템 공학과로 다시 한 번 떠납니다.

부서의 사이버 보안 연구 센터의 연구원은 소위 말하는 보안 문제와 관련된 보안 문제를 정기적으로 조사합니다. 에어갭 네트워크.

이름에서 알 수 있듯이 에어갭 네트워크는 인터넷뿐만 아니라 다른 네트워크, 심지어 같은 시설에 있는 네트워크에서도 의도적으로 연결을 끊습니다.

안전한 높은 보안 데이터 처리 영역(또는 더 정확하게는 데이터가 쉽게 유출될 수 없는 이웃 영역보다 더 높은 보안 영역)을 만들기 위해 물리적 와이어가 에어갭 네트워크에서 다른 네트워크로 연결되지 않습니다. .

또한 모든 무선 통신 하드웨어는 일반적으로 비활성화됩니다(이상적으로는 가능한 경우 물리적으로 제거하거나 그렇지 않은 경우 와이어 또는 회로 기판 트레이스를 절단하여 영구적으로 연결 해제).

공격자나 불만을 품은 내부자가 스파이웨어와 같은 악성 코드를 주입하더라도 환경을 만드는 것이 아이디어입니다. 으로 훔친 데이터를 되찾는 것이 쉽지 않거나 심지어 가능하지도 않을 것입니다. 아웃 또.

그것은 소리보다 어렵다

안타깝게도 외부 "데이터 허점"이 없는 사용 가능한 에어갭 네트워크를 만드는 것은 생각보다 어렵습니다. Ben-Gurion University 연구원들은 과거에 이를 완화할 수 있는 방법과 함께 수많은 실행 가능한 트릭을 설명했습니다.

우리는 다음과 같은 엉뚱한 트릭을 포함하여 이전에 여러 차례 그들의 작업에 대해 매혹과 기쁨이 혼합된 상태로 글을 썼습니다. 가이로스코프 (휴대전화의 나침반 칩을 투박한 마이크로 바꾸는 것), 란테나 (라디오 안테나로 유선 네트워크 케이블 사용) 및 팬미터 (오디오 "데이터 채널"을 생성하기 위해 시스템 로드를 변경하여 CPU 팬 속도를 변경).

이번에 연구원들은 그들의 새로운 트릭에 불행하고 불필요하게 혼란스러운 이름을 부여했습니다. COVID 비트어디로 COV "은밀한"을 나타내는 것으로 명시적으로 나열되어 있으며 우리는 추측할 수 있습니다. ID 비트 "정보 공개, 비트 단위"와 같은 것을 의미합니다.

이 데이터 유출 체계는 컴퓨터 자체의 전원 공급 장치를 승인되지 않았지만 탐지 가능하고 디코딩 가능한 무선 전송 소스로 사용합니다.

연구원들은 은밀한 데이터 전송 속도를 최대 1000비트/초(40년 전에는 완벽하게 유용하고 사용 가능한 전화 접속 모뎀 속도)라고 주장합니다.

그들은 또한 유출된 데이터가 수정되지 않고 순진해 보이는 휴대폰(자체 무선 하드웨어가 모두 꺼진 휴대폰일지라도)에서 최대 2미터 떨어진 곳에서 수신될 수 있다고 주장합니다.

즉, 보안 연구실 외부의 공범자는 이 트릭을 사용하여 연구실 벽이 무선 누출에 대해 충분히 잘 보호되지 않는다고 가정하고 의심하지 않고 훔친 데이터를 수신할 수 있습니다.

방법은 다음과 같습니다. COVID 비트 작동합니다.

데이터 채널로서의 전원 관리

최신 CPU는 일반적으로 변화하는 부하에 적응하기 위해 작동 전압과 주파수를 변경하여 전력 소비를 줄이고 과열을 방지합니다.

실제로 일부 랩탑은 프로세서가 너무 뜨거워지기 시작하면 고의적으로 프로세서 속도를 늦추고 주파수와 전압을 모두 조정하여 열 낭비를 줄이면서 성능을 저하시키는 방식으로 팬 없이도 CPU 온도를 제어합니다. (새로운 Linux 커널이 겨울에 더 빨리 빌드되는 이유가 궁금하다면 이것이 이유일 수 있습니다.)

그들은 SMPS로 알려진 깔끔한 전자 장치 덕분에 이것을 할 수 있습니다. 스위치 모드 전원 공급 장치.

SMPS는 출력 전압을 변경하기 위해 변압기와 가변 저항을 사용하지 않습니다. 옛날 방식의 부피가 크고 비효율적이며 윙윙거리는 전원 어댑터가 그랬던 것처럼요.

대신, 그들은 일정한 입력 전압을 취하여 빠른 스위칭 트랜지스터를 사용하여 초당 수십만에서 수백만 번 전압을 완전히 켜고 완전히 끄는 방식으로 깔끔한 DC 구형파로 변환합니다.

그런 다음 상당히 간단한 전기 구성 요소가 이 잘린 DC 신호를 "켜짐" 단계와 "꺼짐" 단계가 깨끗하게 전환된 구형파에 있는 시간 비율에 비례하는 일정한 전압으로 변환합니다.

느슨하게 말하면, 12/1초 동안 완전히 켜진 다음 500,000/1초 동안 완전히 꺼지는 250,000V DC 입력을 상상해 보십시오. 그것의 12/1 동안 3V에서. 그런 다음 이 전기 구형파가 인덕터, 다이오드 및 커패시터에 의해 피크 입력 레벨의 0/2에서 연속 DC 출력으로 "평활화"되어 거의 완벽하게 안정적인 3V 출력을 생성한다고 상상해 보십시오.

상상할 수 있듯이 이 스위칭 및 평활화에는 SMPS 내부의 전류 및 전압의 급격한 변화가 수반되며, 이는 차례로 약간의 전자기장을 생성합니다(간단히 말해서, 전파) 회로 보드 도체 트레이스 및 구리 배선과 같은 장치 자체의 금속 도체를 통해 누출됩니다.

그리고 전자기 누출이 있는 곳에서는 Ben-Gurion University 연구원들이 가능한 비밀 신호 메커니즘으로 사용할 방법을 찾을 것이라고 확신할 수 있습니다.

그러나 잡음이 아닌 다른 것을 전달하기 위해 초당 수백만 번 스위칭하는 SMPS의 무선 잡음을 어떻게 사용할 수 있습니까?

전환율 전환

트릭에 따르면 신고 Mordechai Guri 연구원이 작성한 방법은 각 CPU 코어에서 실행되는 코드를 초당 5000~8000회 의도적으로 변경하여 훨씬 더 낮은 빈도로 CPU의 부하를 갑자기 극적으로 변화시키는 것입니다.

이러한 비교적 낮은 주파수에서 프로세서 부하의 변화에 ​​대한 체계적인 패턴을 생성함으로써…

…Guri는 SMPS를 속일 수 있었습니다. 고주파 스위칭 속도 전환 안정적으로 감지하고 디코딩할 수 있는 저주파 무선 패턴을 생성하는 방식입니다.

더 좋은 점은 그가 의도적으로 생성한 전자기 "유사 잡음"이 0Hz에서 60kHz 사이에 나타났기 때문에 음성을 디지털화하고 재생하는 데 사용되는 일반 노트북 또는 휴대폰 오디오 칩의 샘플링 기능과 잘 일치하는 것으로 판명되었습니다. 음악.

(구문 오디오 칩 곧 보게 되겠지만 위의 내용은 전파에 대해 이야기하고 있지만 오타가 아닙니다.)

공교롭게도 인간의 귀는 최대 약 20kHz의 주파수를 들을 수 있으며 소리 진동을 안정적으로 감지하여 높은 주파수를 실행 가능한 음파로 재생하기 위해서는 적어도 두 배의 속도로 출력을 생성하거나 입력을 녹음해야 합니다. 스파이크 또는 DC 스타일의 "직선".

CD 샘플링 속도(컴팩트 디스크, 기억한다면)는 이러한 이유로 44,100Hz로 설정되었고 DAT(디지털 오디오 테이프) 곧 유사하지만 약간 다른 속도인 48,000Hz를 기반으로 뒤따랐습니다.

그 결과 헤드셋, 휴대폰, 팟캐스트 마이크를 포함하여 오늘날 사용되는 거의 모든 디지털 오디오 장치는 48,000Hz의 녹음 속도를 지원합니다. (일부 멋진 마이크는 384kHz까지 속도를 두 배로 늘리고 심지어 48배로 높이지만 XNUMXkHz는 거의 모든 현대 디지털 오디오 장치가 찾을 수 있는 가장 저렴한 것일지라도 기록.)

오디오가 라디오를 만나는 곳

기존의 마이크는 물리적인 음압을 전기 신호로 변환하므로 대부분의 사람들은 노트북이나 휴대폰의 오디오 잭을 전자기 방사선과 연결하지 않습니다.

하지만 당신은 당신의 휴대 전화의 변환할 수 있습니다 오디오 저품질, 저주파, 저전력으로 회로 라디오 수신기 또는 송신기…

...와이어 루프로 구성된 "마이크"(또는 "헤드폰" 쌍)를 만들어 오디오 잭에 연결하고 라디오 안테나 역할을 하게 하면 됩니다.

노출된 전자기 방사에 의해 와이어 루프에서 생성되는 희미한 전기 "오디오" 신호를 녹음하면 "안테나폰"이 연결되어 있는 동안 수신된 전파의 48,000Hz 디지털 재구성이 가능합니다.

따라서 결국 무작위 노이즈가 아닌 라디오 "노이즈"를 구성하기 위해 영리한 주파수 인코딩 기술을 사용하여 Guri는 데이터 속도가 100비트/초에서 1000비트/초에 이르는 은밀한 단방향 데이터 채널을 만들 수 있었습니다. 초, CPU 부하 조정 코드가 실행 중인 장치 유형에 따라 달라집니다.

Guri는 데스크톱 PC를 속여 최고 품질의 "비밀 전파"를 생성하여 오류 없이 500비트/초 또는 1000% 오류율로 1비트/초를 제공할 수 있다고 밝혔습니다.

Raspberry Pi 3는 오류 없이 200비트/초로 "전송"할 수 있는 반면, 테스트에 사용된 Dell 노트북은 100비트/초를 관리했습니다.

우리는 장치 내부에 회로와 부품이 더 빽빽하게 들어 있을수록 SMPS 회로에서 생성되는 은밀한 무선 신호에 대한 간섭이 더 크다고 가정합니다.

Guri는 또한 주로 배터리 수명 연장을 목표로 하는 노트북급 컴퓨터에서 일반적으로 사용되는 전원 관리 컨트롤이 CPU 처리 부하의 급격한 변화가 SMPS 전환에 영향을 미치는 정도를 줄여서 데이터 전송 용량을 줄인다고 제안합니다. 은밀한 신호.

그럼에도 불구하고 100비트/초이면 256초 이내에 3비트 AES 키를 훔치고, 약 4096분 안에 1비트 RSA 키를 훔치고, 하루 안에 XNUMXMB의 임의 데이터를 훔치는 데 충분합니다.

무엇을해야 하는가?

보안 구역을 운영하고 있고 이런 종류의 비밀 유출 채널이 걱정된다면:

• 보안 영역 주변에 무선 차폐를 추가하는 것을 고려하십시오. 불행하게도 대규모 연구실의 경우 비용이 많이 들 수 있으며 일반적으로 연구실의 전원 공급 장치 배선과 금속 메쉬로 벽, 바닥 및 천장을 차폐하는 데 비용이 많이 듭니다.
• 대감시 무선 신호 생성을 고려하십시오. 일반적인 오디오 마이크가 디지털화할 수 있는 주파수 대역의 무선 스펙트럼을 "방해"하면 이러한 종류의 공격이 완화됩니다. 그러나 라디오 재밍은 해당 국가의 규제 당국의 허가가 필요할 수 있습니다.
• 에어갭을 2미터 이상 늘리는 것을 고려하십시오. 평면도를 보고 보안 연구실 옆에 무엇이 있는지 고려하십시오. 네트워크의 안전하지 않은 부분에서 작업하는 직원이나 방문자가 벽이 있더라도 내부 장비에 2m 이상 접근하지 못하게 하십시오.
• 보안 장치에서 임의의 추가 프로세스를 실행하는 것을 고려하십시오. 이렇게 하면 은밀한 신호 위에 예측할 수 없는 무선 잡음이 추가되어 탐지 및 해독이 더 어려워집니다. 그러나 Guri가 지적한 바와 같이 "만약의 경우" 이렇게 하면 항상 사용 가능한 처리 능력이 줄어들며 이는 용납되지 않을 수 있습니다.
• CPU 주파수를 잠그는 것을 고려하십시오. 일부 BIOS 설정 도구를 사용하면 이 작업을 수행할 수 있으며 발생하는 전원 전환의 양을 제한합니다. 그러나, 구리 발견 이것은 실제로 공격 범위를 제한할 뿐 실제로 제거하지는 않습니다.

물론 걱정할 보안 영역이 없다면…

...그러면 이 이야기를 즐길 수 있습니다. 공격은 점점 좋아진다, 따라서 보안은 목적지가 아니라 여정입니다..

---