COVID-bit: трюк бездротового шпигунського програмного забезпечення з невдалою назвою

Якщо ви регулярно читаєте Naked Security, ви, ймовірно, можете здогадатися, куди на планеті ми прямуємо в цій віртуальній подорожі...

…ми знову їдемо на факультет розробки програмного забезпечення та інформаційних систем Університету Бен-Гуріона в Негеві в Ізраїлі.

Дослідники Дослідницького центру кібербезпеки департаменту регулярно досліджують питання безпеки, пов’язані з т.зв повітряний зазор мереж.

Як випливає з назви, мережа із зазором навмисно від’єднана не лише від Інтернету, але й від будь-яких інших мереж, навіть тих, що знаходяться на тому самому об’єкті.

Щоб створити безпечну зону обробки даних із високим рівнем безпеки (або, точніше, будь-яку зону з високим рівнем безпеки, ніж у сусідів, куди дані не можуть легко вийти), жодні фізичні дроти не підключаються від мережі з повітряним зазором до будь-якої іншої мережі. .

Крім того, усе апаратне забезпечення бездротового зв’язку, як правило, вимкнено (і в ідеалі, якщо це можливо, фізично видалено, або назавжди від’єднано, перерізавши дроти чи сліди друкованої плати, якщо ні).

Ідея полягає в тому, щоб створити середовище, де навіть якщо зловмисникам або незадоволеним інсайдерам вдалося впровадити шкідливий код, наприклад шпигунське програмне забезпечення в в системі, їм було б важко або навіть можливо повернути свої вкрадені дані з знову.

Це важче, ніж здається

На жаль, створити придатну для використання мережу без зовнішніх «лазівок у даних» складніше, ніж здається, і дослідники Університету Бен-Гуріона описали численні життєздатні трюки, а також те, як їх можна пом’якшити.

Ми неодноразово писали про їхню роботу, правда, із сумішшю захоплення та захоплення, включно з такими дивними трюками, як ГАЙРОСКОП (перетворення мікросхеми компаса мобільного телефону на грубий мікрофон), ЛАНТЕНА (з використанням провідних мережевих кабелів як радіоантен) і ФАНСМІТЕР (зміна швидкості вентилятора процесора шляхом зміни навантаження системи для створення аудіо «каналу даних»).

Цього разу дослідники дали своєму новому трюку невдалу та, мабуть, марно заплутану назву COVID-біт, Де COV явно вказано як «прихований», і нам залишається здогадуватися про це ID-біт означає щось на зразок «розкриття інформації, поетапно».

Ця схема викрадання даних використовує власне джерело живлення комп’ютера як джерело несанкціонованих радіопередач, які можна виявити та декодувати.

Дослідники стверджують, що швидкість прихованої передачі даних досягає 1000 біт/с (що було цілком корисною швидкістю комутованого модема 40 років тому).

Вони також стверджують, що витік даних може бути отриманий незміненим і невинним на вигляд мобільним телефоном – навіть з вимкненим бездротовим обладнанням – на відстані до 2 метрів.

Це означає, що співучасники за межами захищеної лабораторії можуть скористатися цим трюком, щоб отримати викрадені дані без підозр, припускаючи, що стіни лабораторії недостатньо добре захищені від радіовитоку.

Отже, ось як COVID-біт працює.

Управління живленням як канал даних

Сучасні процесори зазвичай змінюють свою робочу напругу та частоту, щоб адаптуватися до зміни навантаження, таким чином зменшуючи енергоспоживання та допомагаючи запобігти перегріву.

Дійсно, деякі ноутбуки контролюють температуру процесора, не потребуючи вентиляторів, навмисно сповільнюючи процесор, якщо він починає нагріватися, регулюючи частоту та напругу, щоб зменшити відпрацьоване тепло ціною зниження продуктивності. (Якщо ви коли-небудь замислювалися, чому ваші нові ядра Linux, здається, збираються швидше взимку, це може бути причиною.)

Вони можуть зробити це завдяки акуратному електронному пристрою, відомому як SMPS, скорочення від імпульсний блок живлення.

SMPS не використовують трансформатори та змінний опір для зміни вихідної напруги, як це робили старомодні, громіздкі, неефективні, шумні адаптери живлення в минулі часи.

Замість цього вони беруть постійну вхідну напругу та перетворюють її на чітку прямокутну хвилю постійного струму за допомогою швидкоперемикаючого транзистора, щоб повністю вмикати та повністю вимикати напругу, від сотень тисяч до мільйонів разів на секунду.

Досить прості електричні компоненти потім перетворюють цей зрізаний сигнал постійного струму в постійну напругу, яка пропорційна співвідношенню між тривалістю етапів «увімкнено» та «вимкнено» у чітко переключеному прямокутному сигналі.

Грубо кажучи, уявіть собі вхідну напругу 12 В постійного струму, яка повністю ввімкнена на 1/500,000 1 секунди, а потім повністю вимкнута на 250,000/12 1 секунди, знову і знову, отже, це 3 В протягом 0/2 часу і при 3 В для 1/3 його. Потім уявіть, що ця електрична прямокутна хвиля «згладжується» індуктором, діодом і конденсатором у безперервний вихід постійного струму на 4/XNUMX пікового рівня вхідного сигналу, створюючи таким чином майже ідеально стабільний вихід XNUMX В.

Як ви можете собі уявити, це перемикання та згладжування передбачає швидкі зміни струму та напруги всередині SMPS, що, у свою чергу, створює помірні електромагнітні поля (простіше кажучи, радіохвилі), які витікають через металеві провідники в самому пристрої, такі як провідники друкованої плати та мідна проводка.

А там, де є електромагнітний витік, ви можете бути впевнені, що дослідники Університету Бен-Гуріона шукатимуть способи використовувати його як можливий таємний сигнальний механізм.

Але як ви можете використовувати радіошум SMPS, який перемикається мільйони разів на секунду, щоб передати щось, крім шуму?

Швидкість перемикання перемикань

Хитрість, на думку а звітом написаний дослідником Мордехаєм Гурі, полягає в тому, щоб раптово і різко змінювати навантаження на ЦП, але зі значно нижчою частотою, навмисно змінюючи код, що виконується на кожному ядрі ЦП від 5000 до 8000 разів на секунду.

Створюючи систематичну схему змін у навантаженні процесора на цих порівняно низьких частотах...

…Гурі зміг обдурити SMPS перемикання швидкості перемикання високої частоти таким чином, щоб він генерував низькочастотні радіосхеми, які можна було надійно виявити та декодувати.

А ще краще, враховуючи, що його навмисно згенерований електромагнітний «псевдошум» виявлявся між 0 Гц і 60 кГц, він виявився добре узгодженим із здатністю дискретизації середнього аудіочіпа ноутбука чи мобільного телефону, який використовується для оцифровки голосу та відтворення. музика.

(Фраза аудіочіп вище не є помилкою, хоча ми говоримо про радіохвилі, як ви незабаром побачите.)

Людське вухо, як це буває, може чути частоти приблизно до 20 кГц, і вам потрібно виробляти або записувати вхідні дані принаймні вдвічі такою частотою, щоб надійно виявляти звукові коливання та, таким чином, відтворювати високі частоти як життєздатні звукові хвилі, а не просто шипи або «прямі лінії» у стилі DC.

Частота дискретизації CD (компакт-диски, якщо ви їх пам’ятаєте) були встановлені на 44,100 XNUMX Гц з цієї причини, а DAT (цифрова аудіокасета) послідував незабаром після цього на основі схожої, але трохи відмінної частоти 48,000 XNUMX Гц.

У результаті майже всі цифрові аудіопристрої, які використовуються сьогодні, включно з гарнітурами, мобільними телефонами та мікрофонами для подкастингу, підтримують швидкість запису 48,000 384 Гц. (Деякі модні мікрофони йдуть вище, подвоюючи, подвоюючи і навіть послаблюючи цю частоту аж до 48 кГц, але XNUMX кГц — це швидкість, за якої ви можете припустити, що майже будь-який сучасний цифровий аудіопристрій, навіть найдешевший, який ви можете знайти, зможе запис.)

Де звук зустрічається з радіо

Традиційні мікрофони перетворюють фізичний звуковий тиск на електричні сигнали, тому більшість людей не асоціюють аудіороз’єм на своєму ноутбуці чи мобільному телефоні з електромагнітним випромінюванням.

Але ви можете конвертувати свій мобільний телефон аудіо схеми на низькоякісні, низькочастотні, малопотужні радіо приймач або передавач...

…просто створивши «мікрофон» (або пару «навушників»), що складається з дротяної петлі, підключивши його до аудіороз’єму та дозволивши йому діяти як радіоантена.

Якщо ви запишете слабкий електричний «аудіосигнал», який генерується в дротяній петлі електромагнітним випромінюванням, якому він піддається, ви отримаєте цифрову реконструкцію радіохвиль на 48,000 XNUMX Гц, уловлених, коли ваш «антенафон» був підключений.

Отже, використовуючи деякі розумні методи частотного кодування для створення радіо «шуму», який, зрештою, був не просто випадковим шумом, Гурі зміг створити прихований односторонній канал даних зі швидкістю передачі даних від 100 біт/с до 1000 біт/ сек, залежно від типу пристрою, на якому запускався код налаштування навантаження ЦП.

Ґурі виявив, що настільні комп’ютери можна обманом змусити виробляти «секретні радіохвилі» найкращої якості, даючи 500 біт/с без помилок або 1000 біт/с із частотою помилок 1%.

Raspberry Pi 3 міг «передавати» зі швидкістю 200 біт/с без помилок, тоді як ноутбук Dell, який використовувався в тесті, справлявся зі швидкістю 100 біт/с.

Ми припускаємо, що чим щільніше розташовані схеми та компоненти всередині пристрою, тим сильніші перешкоди створюються прихованими радіосигналами, створеними схемою SMPS.

Гурі також припускає, що елементи керування живленням, які зазвичай використовуються на комп’ютерах класу ноутбуків, спрямовані в основному на продовження терміну служби батареї, зменшують ступінь, до якої швидкі зміни в навантаженні процесора впливають на перемикання SMPS, таким чином зменшуючи ємність передачі даних. прихований сигнал.

Тим не менш, 100 біт/с достатньо, щоб викрасти 256-бітний ключ AES менш ніж за 3 секунди, 4096-бітний ключ RSA приблизно за хвилину або 1 Мбайт довільних даних менш ніж за день.

Що ж робити?

Якщо ви керуєте захищеною територією та турбуєтеся про подібні приховані канали вилучення:

• Розгляньте можливість додавання радіоекранування навколо вашої безпечної зони. На жаль, для великих лабораторій це може бути дорогим і зазвичай передбачає дорогу ізоляцію електропроводки лабораторії, а також екранування стін, підлоги та стелі металевою сіткою.
• Розгляньте можливість створення радіосигналів контрспостереження. «Глушіння» радіоспектру в діапазоні частот, який звичайні аудіомікрофони можуть оцифрувати, пом’якшить цей вид атаки. Однак зауважте, що для радіоперешкод може знадобитися дозвіл регуляторних органів у вашій країні.
• Розгляньте можливість збільшення повітряного зазору понад 2 метри. Подивіться на план поверху та візьміть до уваги те, що знаходиться поруч із безпечною лабораторією. Не дозволяйте співробітникам або відвідувачам, які працюють у незахищеній частині вашої мережі, наближатися до обладнання всередині ближче ніж на 2 метри, навіть якщо на цьому шляху стоїть стіна.
• Розгляньте можливість запуску випадкових додаткових процесів на безпечних пристроях. Це додає непередбачуваний радіошум на додаток до прихованих сигналів, що ускладнює їх виявлення та декодування. Однак, як зазначає Гурі, виконання цього «про всяк випадок» постійно зменшує доступну обчислювальну потужність, що може бути неприйнятним.
• Розгляньте можливість блокування частоти процесора. Деякі інструменти налаштування BIOS дозволяють це зробити, і це обмежує кількість перемикань живлення, які мають місце. Однак Гурі знайдений що це насправді лише обмежує діапазон атаки, а не усуває її.

Звичайно, якщо у вас немає безпечної зони, про яку варто турбуватися...

…тоді ви можете просто насолоджуватися цією історією, пам’ятаючи, що вона підкріплює принцип, що атаки тільки покращуються, і таким чином що безпека – це насправді подорож, а не пункт призначення.

---