COVID-bit: mánh khóe phần mềm gián điệp không dây có cái tên đáng tiếc

Nếu bạn là độc giả thường xuyên của Naked Security, bạn có thể đoán được chúng ta sẽ đi đến đâu trên hành tinh này trong hành trình ảo này….

…một lần nữa chúng tôi sẽ đến Khoa Kỹ thuật Hệ thống Thông tin và Phần mềm tại Đại học Ben-Gurion của Negev ở Israel.

Các nhà nghiên cứu tại Trung tâm Nghiên cứu An ninh Mạng của bộ thường xuyên điều tra các vấn đề bảo mật liên quan đến cái gọi là bị chặn mạng.

Đúng như tên gọi, mạng airgapped bị cố tình ngắt kết nối không chỉ với internet mà còn với bất kỳ mạng nào khác, ngay cả những mạng trong cùng một cơ sở.

Để tạo khu vực xử lý dữ liệu có độ bảo mật cao an toàn (hay chính xác hơn là bất kỳ khu vực nào có độ bảo mật cao hơn vùng lân cận mà dữ liệu không thể dễ dàng thoát ra ngoài), không có dây vật lý nào được kết nối từ mạng airgapped đến bất kỳ mạng nào khác .

Ngoài ra, tất cả phần cứng liên lạc không dây thường bị vô hiệu hóa (và lý tưởng nhất là gỡ bỏ vật lý nếu có thể hoặc ngắt kết nối vĩnh viễn bằng cách cắt dây hoặc dấu vết bảng mạch nếu không).

Ý tưởng là tạo ra một môi trường mà ngay cả khi những kẻ tấn công hoặc những người trong nội bộ bất mãn có thể tiêm mã độc như phần mềm gián điệp vào. trong hệ thống, họ sẽ không thấy dễ dàng, hoặc thậm chí không thể lấy lại được dữ liệu bị đánh cắp ra một lần nữa.

Nó khó hơn bạn tưởng

Thật không may, việc tạo ra một mạng lưới airgapped có thể sử dụng được mà không có “lỗ hổng dữ liệu” bên ngoài khó hơn tưởng tượng và các nhà nghiên cứu của Đại học Ben-Gurion trước đây đã mô tả nhiều thủ thuật khả thi, cùng với cách bạn có thể giảm thiểu chúng.

Phải thừa nhận rằng chúng tôi đã viết với sự pha trộn giữa sự say mê và thích thú về công việc của họ nhiều lần trước đây, bao gồm cả những mánh khóe kỳ quặc như PHẠM VI (biến chip la bàn của điện thoại di động thành một chiếc micro thô sơ), LANTENNA (sử dụng cáp mạng có dây cứng làm ăng-ten vô tuyến) và CHUYỂN ĐỔI (thay đổi tốc độ quạt CPU bằng cách thay đổi tải hệ thống để tạo “kênh dữ liệu” âm thanh).

Lần này, các nhà nghiên cứu đã đặt cho thủ thuật mới của họ một cái tên đáng tiếc và có lẽ gây nhầm lẫn không cần thiết. Covid-bit, Nơi COV được liệt kê rõ ràng là viết tắt của “bí mật”, và chúng ta phải đoán rằng bit ID là viết tắt của một cái gì đó như “tiết lộ thông tin, từng chút một”.

Sơ đồ lọc dữ liệu này sử dụng nguồn điện riêng của máy tính làm nguồn truyền sóng vô tuyến trái phép nhưng có thể phát hiện và giải mã được.

Các nhà nghiên cứu tuyên bố tốc độ truyền dữ liệu bí mật lên tới 1000 bit/giây (tốc độ quay số của modem quay số hoàn toàn hữu ích và có thể sử dụng được cách đây 40 năm).

Họ cũng tuyên bố rằng dữ liệu bị rò rỉ có thể được nhận bởi một chiếc điện thoại di động chưa được sửa đổi và có vẻ ngoài bình thường - thậm chí cả một chiếc đã tắt toàn bộ phần cứng không dây - cách xa tới 2 mét.

Điều này có nghĩa là những kẻ đồng phạm bên ngoài phòng thí nghiệm an toàn có thể sử dụng thủ thuật này để nhận dữ liệu bị đánh cắp một cách không đáng ngờ, giả sử rằng các bức tường của phòng thí nghiệm không được bảo vệ đủ tốt để chống rò rỉ sóng vô tuyến.

Vì vậy, đây là cách Covid-bit công trình.

Quản lý năng lượng như một kênh dữ liệu

Các CPU hiện đại thường thay đổi điện áp và tần số hoạt động để thích ứng với việc thay đổi tải, do đó giảm mức tiêu thụ điện năng và giúp ngăn ngừa quá nhiệt.

Thật vậy, một số máy tính xách tay kiểm soát nhiệt độ CPU mà không cần quạt, bằng cách cố tình làm chậm bộ xử lý nếu nó bắt đầu quá nóng, điều chỉnh cả tần số và điện áp để giảm nhiệt thải với cái giá là hiệu năng thấp hơn. (Nếu bạn đã từng thắc mắc tại sao nhân Linux mới của bạn dường như xây dựng nhanh hơn vào mùa đông thì đây có thể là lý do.)

Họ có thể làm được điều này nhờ vào một thiết bị điện tử gọn gàng được gọi là SMPS, viết tắt của Cung cấp điện áp chuyển mạch.

SMPS không sử dụng máy biến áp và điện trở thay đổi để thay đổi điện áp đầu ra, giống như các bộ đổi nguồn lỗi thời, cồng kềnh, kém hiệu quả và ồn ào ngày xưa.

Thay vào đó, họ lấy điện áp đầu vào ổn định và chuyển đổi nó thành sóng vuông DC gọn gàng bằng cách sử dụng bóng bán dẫn chuyển mạch nhanh để bật và tắt hoàn toàn điện áp, từ hàng trăm nghìn đến hàng triệu lần một giây.

Sau đó, các bộ phận điện khá đơn giản sẽ biến tín hiệu DC được cắt nhỏ này thành một điện áp ổn định tỷ lệ thuận với tỷ lệ giữa thời lượng của các giai đoạn “bật” và các giai đoạn “tắt” trong sóng vuông được chuyển mạch rõ ràng.

Nói một cách đơn giản, hãy tưởng tượng một đầu vào DC 12V được bật hoàn toàn trong 1/500,000 giây và sau đó tắt hoàn toàn trong 1/250,000 giây, lặp đi lặp lại, do đó, nó ở mức 12V trong 1/3 thời gian và ở 0V cho 2/3 của nó. Sau đó, hãy tưởng tượng sóng vuông điện này được “làm mịn” bởi một cuộn cảm, một diode và một tụ điện thành đầu ra DC liên tục ở mức 1/3 mức đầu vào cực đại, do đó tạo ra đầu ra ổn định gần như hoàn hảo là 4V.

Như bạn có thể tưởng tượng, việc chuyển đổi và làm trơn này bao gồm những thay đổi nhanh chóng về dòng điện và điện áp bên trong SMPS, từ đó tạo ra các trường điện từ khiêm tốn (nói một cách đơn giản, sóng radio) rò rỉ ra ngoài qua các dây dẫn kim loại trong chính thiết bị, chẳng hạn như dấu vết dây dẫn trên bảng mạch và dây đồng.

Và ở nơi nào có rò rỉ điện từ, bạn có thể chắc chắn rằng các nhà nghiên cứu của Đại học Ben-Gurion sẽ tìm cách sử dụng nó như một cơ chế truyền tín hiệu bí mật.

Nhưng làm thế nào bạn có thể sử dụng tiếng ồn vô tuyến của SMPS chuyển đổi hàng triệu lần một giây để truyền tải bất cứ thứ gì ngoài tiếng ồn?

Chuyển đổi tốc độ chuyển đổi

Thủ thuật này, theo một báo cáo được viết bởi nhà nghiên cứu Mordechai Guri, là thay đổi tải trên CPU một cách đột ngột và đột ngột, nhưng ở tần số thấp hơn nhiều, bằng cách cố tình thay đổi mã chạy trên mỗi lõi CPU trong khoảng từ 5000 đến 8000 lần một giây.

Bằng cách tạo ra một mô hình thay đổi có hệ thống về tải bộ xử lý ở các tần số tương đối thấp này…

…Guri đã có thể lừa SMPS chuyển đổi tốc độ chuyển đổi tần số cao của nó theo cách mà nó tạo ra các mẫu vô tuyến tần số thấp có thể được phát hiện và giải mã một cách đáng tin cậy.

Tốt hơn nữa, do “tiếng ồn giả” điện từ được cố ý tạo ra của anh ấy xuất hiện trong khoảng từ 0Hz đến 60kHz, hóa ra nó rất phù hợp với khả năng lấy mẫu của chip âm thanh điện thoại di động hoặc máy tính xách tay thông thường, được sử dụng để số hóa giọng nói và phát lại. âm nhạc.

(Cụm từ chip âm thanh ở trên không phải là lỗi đánh máy, mặc dù chúng ta đang nói về sóng vô tuyến, như bạn sẽ sớm thấy.)

Tai người có thể nghe được tần số lên tới khoảng 20kHz và bạn cần tạo ra đầu ra hoặc ghi đầu vào ít nhất gấp đôi tốc độ đó để phát hiện dao động âm thanh một cách đáng tin cậy và do đó tái tạo tần số cao dưới dạng sóng âm thanh khả thi thay vì chỉ là những đường nhọn hoặc “đường thẳng” kiểu DC.

Tốc độ lấy mẫu CD (đĩa compact, nếu bạn còn nhớ) được đặt ở tần số 44,100Hz vì lý do này và DAT (băng âm thanh kỹ thuật số) được thực hiện ngay sau đó, dựa trên tốc độ tương tự nhưng hơi khác một chút là 48,000Hz.

Do đó, hầu hết tất cả các thiết bị âm thanh kỹ thuật số được sử dụng ngày nay, bao gồm cả thiết bị trong tai nghe, điện thoại di động và micrô podcast, đều hỗ trợ tốc độ ghi 48,000Hz. (Một số micrô ưa thích có tốc độ cao hơn, tăng gấp đôi, tăng gấp đôi và thậm chí tăng gấp 384 lần tốc độ đó lên tới 48kHz, nhưng XNUMXkHz là tốc độ mà bạn có thể cho rằng hầu hết mọi thiết bị âm thanh kỹ thuật số hiện đại, ngay cả thiết bị rẻ nhất mà bạn có thể tìm thấy, đều có thể ghi.)

Nơi âm thanh gặp đài phát thanh

Micrô truyền thống chuyển đổi áp suất âm thanh vật lý thành tín hiệu điện, vì vậy hầu hết mọi người không liên kết giắc âm thanh trên máy tính xách tay hoặc điện thoại di động của họ với bức xạ điện từ.

Nhưng bạn có thể chuyển đổi điện thoại di động của mình âm thanh mạch thành chất lượng thấp, tần số thấp, công suất thấp radio máy thu hoặc máy phát…

…đơn giản bằng cách tạo ra một “micro” (hoặc một cặp “tai nghe”) bao gồm một vòng dây, cắm nó vào giắc âm thanh và để nó hoạt động như một ăng-ten radio.

Nếu bạn ghi lại tín hiệu “âm thanh” điện yếu được tạo ra trong vòng dây bởi bức xạ điện từ mà nó tiếp xúc, thì bạn có bản tái tạo kỹ thuật số 48,000Hz của sóng vô tuyến thu được khi “ăng-ten” của bạn được cắm vào.

Vì vậy, bằng cách sử dụng một số kỹ thuật mã hóa tần số thông minh để tạo ra “nhiễu” vô tuyến mà rốt cuộc không chỉ là nhiễu ngẫu nhiên, Guri đã có thể tạo ra một kênh dữ liệu một chiều bí mật với tốc độ dữ liệu chạy từ 100 bit/giây đến 1000 bit/ giây, tùy thuộc vào loại thiết bị mà mã điều chỉnh tải CPU đang chạy.

Guri nhận thấy máy tính để bàn có thể bị lừa để tạo ra “sóng vô tuyến bí mật” chất lượng tốt nhất, cho tốc độ 500 bit/giây không có lỗi hoặc 1000 bit/giây với tỷ lệ lỗi 1%.

Raspberry Pi 3 có thể “truyền” ở tốc độ 200 bit/giây mà không gặp lỗi, trong khi máy tính xách tay Dell được sử dụng trong thử nghiệm quản lý 100 bit/giây.

Chúng tôi giả định rằng mạch điện và các bộ phận bên trong thiết bị càng được đóng gói chặt chẽ thì mức độ nhiễu với các tín hiệu vô tuyến bí mật do mạch SMPS tạo ra càng lớn.

Guri cũng gợi ý rằng các điều khiển quản lý năng lượng thường được sử dụng trên các máy tính loại máy tính xách tay, chủ yếu nhằm kéo dài tuổi thọ pin, giảm mức độ thay đổi nhanh chóng trong tải xử lý của CPU ảnh hưởng đến việc chuyển đổi SMPS, do đó làm giảm khả năng mang dữ liệu của máy. tín hiệu bí mật.

Tuy nhiên, 100 bit/giây là đủ để đánh cắp khóa AES 256 bit trong vòng chưa đầy 3 giây, khóa RSA 4096 bit trong khoảng một phút hoặc 1 MB dữ liệu tùy ý trong vòng chưa đầy một ngày.

Phải làm gì?

Nếu bạn điều hành một khu vực an toàn và lo lắng về các kênh lọc bí mật kiểu này:

• Hãy cân nhắc việc thêm tấm chắn vô tuyến xung quanh khu vực an toàn của bạn. Thật không may, đối với các phòng thí nghiệm lớn, điều này có thể tốn kém và thường liên quan đến việc cách ly đắt tiền hệ thống dây điện cung cấp điện của phòng thí nghiệm cũng như che chắn tường, sàn và trần nhà bằng lưới kim loại.
• Xem xét việc tạo ra tín hiệu vô tuyến chống giám sát. “Làm nhiễu” phổ vô tuyến trong dải tần mà micrô âm thanh thông thường có thể số hóa sẽ giảm thiểu kiểu tấn công này. Tuy nhiên, hãy lưu ý rằng việc gây nhiễu sóng vô tuyến có thể cần có sự cho phép của cơ quan quản lý ở quốc gia bạn.
• Hãy cân nhắc việc tăng khe hở không khí của bạn lên trên 2 mét. Nhìn vào sơ đồ tầng của bạn và tính đến những gì bên cạnh phòng thí nghiệm an toàn. Đừng để nhân viên hoặc khách truy cập làm việc ở khu vực không an toàn trong mạng của bạn đến gần thiết bị bên trong hơn 2m, ngay cả khi có tường cản đường.
• Cân nhắc việc chạy các quy trình bổ sung ngẫu nhiên trên các thiết bị an toàn. Điều này làm tăng thêm nhiễu vô tuyến không thể đoán trước trên các tín hiệu bí mật, khiến chúng khó phát hiện và giải mã hơn. Tuy nhiên, như Guri lưu ý, việc thực hiện điều này “để đề phòng” luôn làm giảm sức mạnh xử lý sẵn có của bạn, điều này có thể không được chấp nhận.
• Hãy cân nhắc việc khóa tần số CPU của bạn. Một số công cụ thiết lập BIOS cho phép bạn thực hiện việc này và nó hạn chế số lượng chuyển đổi nguồn diễn ra. Tuy nhiên, Guri tìm thấy rằng điều này thực sự chỉ giới hạn phạm vi tấn công và không thực sự loại bỏ nó.

Tất nhiên, nếu bạn không có khu vực an toàn để lo lắng…

…thì bạn có thể vừa thưởng thức câu chuyện này vừa nhớ rằng nó củng cố nguyên tắc rằng các cuộc tấn công chỉ trở nên tốt hơn, và do đó an ninh thực sự là một hành trình, không phải là đích đến.

---