真正敏感的工作,比如核能工廠,就要求最嚴(yán)格的安全性。通常這種地方的計(jì)算機(jī)不會和互聯(lián)網(wǎng)連接,也不會和與互聯(lián)網(wǎng)連接的其他電腦連接,甚至不允許工作人員自行接插外部設(shè)備——國外把這種計(jì)算機(jī)稱作air-gap計(jì)算機(jī)。如果敏感度更高,那么就連將私人智能手機(jī)帶入工作場所都有嚴(yán)格限制——因?yàn)橹悄苁謾C(jī)本身就可作為監(jiān)聽設(shè)備。
這么看來,與外界隔絕的封閉系統(tǒng)該是非常安全了。不過以色列的研究人員想到了一種在這樣的層層保護(hù)下都仍能偷走數(shù)據(jù)的新方法,使用GSM網(wǎng)絡(luò)、電磁波,以及一個(gè)最基本的低端手機(jī)。研究人員說這是從air-gap系統(tǒng)中獲取數(shù)據(jù)的突破。
他們甚至表示,許多企業(yè)都應(yīng)當(dāng)由此“變更其安全策略,并且禁止員工和來訪者攜帶支持RF信號收發(fā)的設(shè)備”,內(nèi)蓋夫的班古里昂大學(xué)計(jì)算機(jī)安全研究中心負(fù)責(zé)人Yuval Elovici是這么說的。
只要一支功能手機(jī)就能搞定
這套攻擊方法要求目標(biāo)計(jì)算機(jī)和手機(jī)都裝有相應(yīng)的惡意程序,此條件滿足后,攻擊就會利用每臺設(shè)備本身的一些特性從中獲得數(shù)據(jù)。比如說,計(jì)算機(jī)在正常操作過程中發(fā)射出電磁輻射,手機(jī)則很自然地成為這些信號的接收者。這兩個(gè)因素“為攻擊者通過隱蔽的頻道泄露數(shù)據(jù)構(gòu)建起了條件”。
實(shí)際上去年也有過類似的攻擊手法,不過當(dāng)時(shí)還需要計(jì)算機(jī)的顯卡產(chǎn)生無線電信號,通過智能手機(jī)里的FM無線電接收器接收。而這次的攻擊是采用新型的方法來進(jìn)行數(shù)據(jù)傳輸,并且是在智能手機(jī)使用受限的環(huán)境下——這種新方法只需要功能機(jī)就可以,功能機(jī)通常可以進(jìn)出一些敏感場合,因?yàn)楹芏喙δ軝C(jī)都只能打電話和發(fā)短信,甚至很難被用于監(jiān)聽。比如說,Intel的生產(chǎn)工人就只允許使用“基本的只包含語音通話和短信特性的手機(jī)”——不能包含攝像頭、視頻、WiFi功能,即便如此嚴(yán)苛也難逃新的攻擊手法了。
雖說這種新型的信息泄露方式只允許非常少量的數(shù)據(jù)溝通,對于泄露密碼、密鑰一類的信息而言,在1-2分鐘的時(shí)間內(nèi)也是可以完成的。而且據(jù)研究人員所說,在更遠(yuǎn)的距離內(nèi)、最遠(yuǎn)可達(dá)30米,使用專用的接收器也能獲得很多的數(shù)據(jù)。也就是說,黑客只要用上了所需的設(shè)備,甚至就能從周圍的設(shè)備中獲取到數(shù)據(jù)——于是乎就算規(guī)定工作場合不允許攜帶手機(jī),只要有30米的距離,穿墻也能完成數(shù)據(jù)獲取過程。
這項(xiàng)研究的團(tuán)隊(duì)負(fù)責(zé)人Mordechai Guri會在下個(gè)月于華盛頓舉行的Usenix安全專題討論會上展示這項(xiàng)重大發(fā)現(xiàn)。相關(guān)這項(xiàng)研究的文章已經(jīng)發(fā)表在了Usenix站點(diǎn)上,僅對訂閱者開放,下面的視頻就演示了整個(gè)攻擊獲取數(shù)據(jù)的過程。
好恐怖!數(shù)據(jù)是通過電腦的電磁輻射傳出的!
實(shí)際上通過電磁輻射做到數(shù)據(jù)泄露并不是什么新發(fā)現(xiàn),早在1972年的時(shí)候,NSA的一篇文章就探討過名為TEMPEST的攻擊。而且在大約15年以前,兩位研究人員也公布了如何通過特別的命令和軟件來操縱一臺計(jì)算機(jī)的電磁輻射。
這次以色列研究人員也是建立于這樣的基礎(chǔ)之上,而且開發(fā)出了被他們稱作GSMem的惡意程序,它能夠讓計(jì)算機(jī)內(nèi)存總線扮演起天線的角色,通過無線頻率將數(shù)據(jù)傳輸?shù)绞謾C(jī)上。據(jù)說GSMem留下的痕跡非常少,而且運(yùn)行的時(shí)候只需要占據(jù)4KB內(nèi)存,要發(fā)現(xiàn)也不是那么容易。同時(shí)它也包含了一系列無需與API交互的簡單CPU指令,免于安全檢測程序的追蹤。
研究團(tuán)隊(duì)設(shè)計(jì)的攻擊套裝名為ReceiverHandler——這是需要嵌入到手機(jī)基帶固件中的。GSMem惡意程序安裝在計(jì)算機(jī)中(這一步仍舊需要通過物理訪問手段,或者也可以通過產(chǎn)品供應(yīng)鏈,比如從產(chǎn)品供應(yīng)商下手),ReceiverHandler則可以通過而已應(yīng)用、社會工程攻擊的方式安裝到目標(biāo)手機(jī)中。
當(dāng)數(shù)據(jù)在CPU和計(jì)算機(jī)的內(nèi)存RAM間搬運(yùn)時(shí),無線電波自然會放射出,實(shí)際上這種波的振幅是不足以作為信息傳輸給手機(jī)的,但研究人員發(fā)現(xiàn),通過計(jì)算機(jī)中的多通道內(nèi)存總線生成連續(xù)的數(shù)據(jù)流,就能讓振幅變大,用生成的波載入二進(jìn)制信息,發(fā)往接收器即可。
多通道內(nèi)存設(shè)置允許數(shù)據(jù)同時(shí)通過2個(gè)、3個(gè)或者4個(gè)數(shù)據(jù)總線傳輸,這些通道同時(shí)使用時(shí),無線電發(fā)射就能增加0.1-0.15dB。GSMem惡意程序就是通過所有通道中數(shù)據(jù)的交換來產(chǎn)生足夠的振幅。至于對于0和1的表示方法,實(shí)際也是通過振幅來表達(dá)的。接收端在將二進(jìn)制的0和1解釋為可讀數(shù)據(jù),一般是密碼或者密鑰信息。
據(jù)研究人員所說,在他們的測試下,一臺已有9年歷史的摩托羅拉C123,所用Calypso基帶芯片是德州儀器制造的,支持2G網(wǎng)絡(luò),不支持GPRS、WiFi和移動(dòng)數(shù)據(jù)網(wǎng)絡(luò),整個(gè)過程的傳輸速率大約是每秒鐘1-2比特,這對于傳輸類似256位密鑰是完全足夠的。
他們在3個(gè)工作站以不同的操作系統(tǒng)(Windows、Linux和Ubuntu)進(jìn)行了測試,而且測試環(huán)境有很多電腦(可能會產(chǎn)生各種電磁噪音),接收器端于是就必須專注于解碼它所需要的信息。研究人員所用的接收端是在接收能力上比智能手機(jī)更出色專業(yè)設(shè)備,據(jù)說最遠(yuǎn)30米的范圍內(nèi),傳輸速率能夠達(dá)到每秒100-1000比特的水平——所用的是GNU-Radio軟件以及Radio Peripheral B210。
看完上面這些介紹是不是感覺特別恐怖?這么高端的數(shù)據(jù)獲取方式,不知道在那些注重信息安全的組織眼中會如何。
京公網(wǎng)安備 11010502049343號