COVID-бит: беспроводная шпионская уловка с неудачным названием

Если вы регулярно читаете Naked Security, вы, вероятно, можете догадаться, куда на планете мы направляемся в этом виртуальном путешествии….

…мы снова отправляемся на кафедру разработки программного обеспечения и информационных систем Университета Бен-Гуриона в Негеве в Израиле.

Исследователи из Исследовательского центра кибербезопасности департамента регулярно исследуют проблемы безопасности, связанные с так называемыми воздушный зазор сетей.

Как следует из названия, сеть с воздушным зазором преднамеренно отключается не только от Интернета, но и от любых других сетей, даже находящихся в том же учреждении.

Чтобы создать безопасную зону обработки данных с высоким уровнем безопасности (или, точнее, любую зону с более высоким уровнем безопасности, чем ее соседи, где данные не могут быть легко удалены), никакие физические провода не соединяются из изолированной сети с любой другой сетью. .

Кроме того, все оборудование для беспроводной связи обычно отключено (и в идеале, если это возможно, удалено физически, или окончательно отключено путем перерезания проводов или следов на печатной плате, если нет).

Идея состоит в том, чтобы создать среду, в которой даже если злоумышленникам или недовольным инсайдерам удастся внедрить вредоносный код, например шпионское ПО, в системы, им будет нелегко или даже невозможно вернуть украденные данные. внешний снова.

Это сложнее, чем кажется

К сожалению, создать пригодную для использования изолированную сеть без внешних «лазеек для данных» сложнее, чем кажется, и исследователи из Университета Бен-Гуриона уже описывали множество жизнеспособных уловок, а также то, как вы можете их смягчить, в прошлом.

Мы писали, по общему признанию, со смесью восхищения и восторга, об их работе много раз раньше, включая дурацкие трюки, такие как ГАИРОСКОП (превращая чип компаса мобильного телефона в грубый микрофон), ЛАНТЕННА (с использованием проводных сетевых кабелей в качестве радиоантенн) и ФАНСМИТТЕР (изменение скорости вентилятора ЦП путем изменения нагрузки на систему для создания звукового «канала данных»).

На этот раз исследователи дали своему новому трюку неудачное и, возможно, излишне запутанное название. COVID-бит, Где COV явно указан как «скрытый», и нам остается только догадываться, что ID-бит расшифровывается как «раскрытие информации по крупицам».

Эта схема кражи данных использует собственный источник питания компьютера в качестве источника несанкционированных, но обнаруживаемых и декодируемых радиопередач.

Исследователи заявляют о скорости скрытой передачи данных до 1000 бит/с (40 лет назад это была вполне полезная скорость коммутируемого модема).

Они также утверждают, что утечка данных может быть получена немодифицированным и невинно выглядящим мобильным телефоном — даже с выключенным собственным беспроводным оборудованием — на расстоянии до 2 метров.

Это означает, что сообщники за пределами защищенной лаборатории могут использовать этот трюк для получения украденных данных, не подозревая, что стены лаборатории недостаточно хорошо защищены от утечки радиосигнала.

Итак, вот как COVID-бит работ.

Управление питанием как канал данных

Современные процессоры обычно изменяют свое рабочее напряжение и частоту, чтобы адаптироваться к изменяющейся нагрузке, тем самым снижая энергопотребление и помогая предотвратить перегрев.

Действительно, некоторые ноутбуки контролируют температуру процессора, не нуждаясь в вентиляторах, преднамеренно замедляя процессор, если он начинает перегреваться, регулируя как частоту, так и напряжение, чтобы сократить отработанное тепло за счет снижения производительности. (Если вы когда-нибудь задавались вопросом, почему ваши новые ядра Linux быстрее собираются зимой, возможно, поэтому.)

Они могут сделать это благодаря аккуратному электронному устройству, известному как SMPS, сокращенно от импульсный блок питания.

В импульсных источниках питания не используются трансформаторы и переменные сопротивления для изменения выходного напряжения, как это делали старые, громоздкие, неэффективные и шумные адаптеры питания.

Вместо этого они берут постоянное входное напряжение и преобразуют его в аккуратную прямоугольную волну постоянного тока, используя быстродействующий транзистор для полного включения и выключения напряжения от сотен тысяч до миллионов раз в секунду.

Довольно простые электрические компоненты затем превращают этот нарезанный сигнал постоянного тока в устойчивое напряжение, пропорциональное соотношению между тем, как долго ступени «включено» и «выключены» находятся в чисто коммутируемой прямоугольной волне.

Грубо говоря, представьте себе вход постоянного тока 12 В, который полностью включается на 1/500,000 1 секунды, а затем полностью отключается на 250,000/12 1 секунды, снова и снова, так что он находится на 3 В в течение 0/2 времени и при 3 В для 1/3 его. Затем представьте, что эта электрическая прямоугольная волна «сглаживается» катушкой индуктивности, диодом и конденсатором в непрерывный выход постоянного тока на уровне 4/XNUMX от пикового входного уровня, создавая таким образом почти идеально стабильный выходной сигнал XNUMX В.

Как вы понимаете, это переключение и сглаживание связано с быстрыми изменениями тока и напряжения внутри ИИП, что, в свою очередь, создает слабые электромагнитные поля (проще говоря, радиоволны), которые просачиваются через металлические проводники в самом устройстве, такие как дорожки проводников на печатной плате и медные провода.

И там, где есть электромагнитная утечка, вы можете быть уверены, что исследователи из Университета Бен-Гуриона будут искать способы использовать ее в качестве возможного секретного сигнального механизма.

Но как вы можете использовать радиошум SMPS, переключающегося миллионы раз в секунду, чтобы передать что-то кроме шума?

Переключить скорость переключения

Трюк, по словам А. отчету написанный исследователем Мордехаем Гури, заключается в том, чтобы резко и резко изменить нагрузку на ЦП, но с гораздо меньшей частотой, путем преднамеренного изменения кода, работающего на каждом ядре ЦП, от 5000 до 8000 раз в секунду.

Создав систематический паттерн изменения загрузки процессора на этих сравнительно низких частотах…

…Гури удалось обмануть SMPS в переключение его высокочастотных скоростей переключения таким образом, чтобы он генерировал низкочастотные радиосигналы, которые можно было надежно обнаружить и расшифровать.

Более того, учитывая, что его преднамеренно генерируемый электромагнитный «псевдошум» проявлялся в диапазоне от 0 Гц до 60 кГц, он оказался хорошо согласованным с возможностями семплирования среднего аудиочипа ноутбука или мобильного телефона, используемого для оцифровки голоса и воспроизведения. Музыка.

(Фраза аудио чип выше это не опечатка, хотя мы говорим о радиоволнах, как вы скоро увидите.)

Человеческое ухо, как это бывает, может слышать частоты примерно до 20 кГц, и вам необходимо производить вывод или записывать вход как минимум в два раза быстрее, чтобы надежно обнаруживать звуковые колебания и, таким образом, воспроизводить высокие частоты как жизнеспособные звуковые волны, а не просто шипы или «прямые линии» в стиле DC.

Частота дискретизации компакт-диска (компакт-диски, если вы их помните) по этой причине были установлены на 44,100 XNUMX Гц, а DAT (цифровая аудиокассета) последовал вскоре после этого, основанный на похожей, но немного другой частоте 48,000 XNUMX Гц.

В результате почти все используемые сегодня цифровые аудиоустройства, в том числе гарнитуры, мобильные телефоны и микрофоны для подкастов, поддерживают частоту записи 48,000 384 Гц. (Некоторые причудливые микрофоны идут выше, удваивая, повторно удваивая и даже восьмеривя эту частоту вплоть до 48 кГц, но XNUMX кГц — это частота, при которой можно предположить, что почти любое современное цифровое аудиоустройство, даже самое дешевое, которое вы можете найти, сможет записывать.)

Где звук встречается с радио

Традиционные микрофоны преобразуют физическое звуковое давление в электрические сигналы, поэтому большинство людей не связывают аудиоразъем на своем ноутбуке или мобильном телефоне с электромагнитным излучением.

Но вы можете преобразовать свой мобильный телефон аудио схемотехника в низкокачественную, низкочастотную, маломощную радио приемник или передатчик…

…просто создав «микрофон» (или пару «наушников»), состоящий из проволочной петли, подключив ее к аудиоразъему и позволив ей действовать как радиоантенне.

Если вы запишете слабый электрический «аудио» сигнал, генерируемый в проволочной петле электромагнитным излучением, которому она подвергается, вы получите цифровую реконструкцию радиоволн с частотой 48,000 XNUMX Гц, уловленных, когда ваш «антеннафон» был подключен к сети.

Таким образом, используя некоторые хитроумные методы частотного кодирования для создания «шума» радио, который, в конце концов, не был просто случайным шумом, Гури смог создать скрытый односторонний канал данных со скоростью передачи данных от 100 бит/с до 1000 бит/с. сек, в зависимости от типа устройства, на котором выполнялся код настройки нагрузки ЦП.

Гури обнаружил, что настольные ПК можно заставить производить «секретные радиоволны» наилучшего качества, выдавая 500 бит/сек без ошибок или 1000 бит/сек с частотой ошибок 1%.

Raspberry Pi 3 мог «передавать» со скоростью 200 бит/сек без ошибок, в то время как ноутбук Dell, использованный в тесте, работал со скоростью 100 бит/сек.

Мы предполагаем, что чем более плотно упакованы схемы и компоненты внутри устройства, тем больше помех для скрытых радиосигналов, генерируемых схемой SMPS.

Гури также предполагает, что элементы управления питанием, обычно используемые на компьютерах класса ноутбуков, нацеленные в первую очередь на продление срока службы батареи, уменьшают степень, в которой быстрые изменения в вычислительной нагрузке ЦП влияют на переключение SMPS, тем самым уменьшая пропускную способность данных. скрытый сигнал.

Тем не менее, скорости 100 бит/сек достаточно, чтобы украсть 256-битный ключ AES менее чем за 3 секунды, 4096-битный ключ RSA примерно за минуту или 1 МБ произвольных данных менее чем за день.

Что делать?

Если вы управляете охраняемой территорией и беспокоитесь о скрытых каналах эксфильтрации такого рода:

• Рассмотрите возможность добавления радиозащиты вокруг вашей безопасной зоны. К сожалению, для больших лабораторий это может быть дорого и обычно включает в себя дорогостоящую изоляцию электропроводки лаборатории, а также экранирование стен, полов и потолков металлической сеткой.
• Рассмотрите возможность создания радиосигналов контрнаблюдения. «Заглушение» радиоспектра в полосе частот, которую могут оцифровывать обычные аудиомикрофоны, смягчит такого рода атаки. Обратите внимание, однако, что для радиопомех может потребоваться разрешение регулирующих органов вашей страны.
• Рассмотрите возможность увеличения воздушного зазора выше 2 метров. Посмотрите на свой план этажа и примите во внимание, что находится рядом с охраняемой лабораторией. Не позволяйте персоналу или посетителям, работающим в небезопасной части вашей сети, приближаться к внутреннему оборудованию ближе, чем на 2 метра, даже если на пути есть стена.
• Рассмотрите возможность запуска случайных дополнительных процессов на защищенных устройствах. Это добавляет непредсказуемый радиошум поверх скрытых сигналов, что затрудняет их обнаружение и декодирование. Однако, как отмечает Гури, выполнение этого «на всякий случай» постоянно снижает доступную вычислительную мощность, что может быть неприемлемо.
• Рассмотрите возможность блокировки частоты процессора. Некоторые инструменты настройки BIOS позволяют это сделать, и это ограничивает количество переключений питания. Тем не менее, Гури найденный что это действительно только ограничивает диапазон атаки, а не устраняет ее.

Конечно, если у вас нет безопасного места, о котором можно было бы беспокоиться…

…тогда вы можете просто наслаждаться этой историей, помня при этом, что она укрепляет тот принцип, что атаки становятся только лучше, и таким образом, что безопасность — это путешествие, а не пункт назначения.

---