DiskFiltration: необычный способ похищения информации с изолированного HDD

Данные можно считывать, анализируя звуки, издаваемые жестким диском компьютера жертвы


8bffb5c97b854dbb80c4b69f474c191b.jpg

Группа израильских ученых разработала новую технологию похищения данных с ПК, которые изолированы от интернета и локальных сетей с низким уровнем безопасности. Такой способ защиты компьютерных систем называется «воздушным зазором» (air-gap) и заключается в физической изоляции. «Зазором» считаются разного рода криптографические устройства, которые обеспечивают передачу данных по отдельному каналу связи или метод передачи информации на различных накопителях вместо передачи по сети.

Схожие методы ранее уже предлагались экспертами по информационной безопасности. Например, технология AirHopper, предполагает использование FM-модуля мобильного устройства для перехвата и анализа электромагнитного излучения графического адаптера ПК. Даже обычные кулеры могут стать источником утечки данных с ПК (метод Fansmitter). Метод получения закрытой информации, предложенный израильскими специалистами, получил название DiskFiltration.
Он предполагает установку специальной программы, которая будет манипулировать позиционером диска (actuator arm). Цель всего этого — заставить актуатор выполнять движения определенным образом, издавая звуки в определенном порядке. Длина звуковой волны в этом случае будет меняться, и при расшифровке сигналов позиционера специалисты получают нули и единицы. Для получения этой информации нужно рядом с целевым устройством разместить мобильное устройство с микрофоном. Это может быть смартфон, ноутбук или какое-то другое устройство.

«Воздушный зазор считается практически идеальной мерой изоляции ПК, которая позволяет предотвращать утечку данных. Личная информация, деловые данные — все это хранится в изолированных сетях. Мы показали, что несмотря на степень изоляции, данные могут быть извлечены», — говорит Мордехай Гури, глава исследовательской группы.

Этот метод может применяться не только в отношении физически изолированных от сетей компьютерных систем. Его можно использовать и для похищения данных с компьютеров, которые подключены к интернету, но защищены специальным ПО (брандмауэры, криптографические системы). Результаты своей работы ученые изложили в уже опубликованной статье.

Разработанный израильскими специалистами метод не слишком быстрый. Пока что его стоит воспринимать как доказательство возможности похищения данных из физически изолированных сетей. Дело в том, что использование этого метода предполагает установку на защищенный компьютер malware. После установки это ПО и будет управлять работой позиционера диска. Скорость передачи информации в ходе экспериментов составила 180 бит в минуту. И при этом еще следует учесть, что рядом с ПК, с которого необходимо похищать информацию, должно находиться мобильное устройство с микрофоном и специальной программой по перехвату звуковых сигналов.

Авторы, разработавшие DiskFiltration, утверждают, что с его помощью не получится похищать сколь-нибудь объемные данные. Уж слишком медленно идет передача данных. Но секретные ключи, пароли — такую информацию считать вполне возможно. На передачу 4096-битного ключа при этом уйдет четверть часа.

«Ранее уже было доказано, что зловредное ПО может извлекать данные из ПК, которые защищены «воздушным зазором» при помощи передачи ультразвука через динамики защищенного ПК. Но этот метод зависит от того, есть ли у компьютера динамики. Наш метод, DiskFiltration, делает возможной утечку данных из ПК без динамиков, при помощи акустических сигналов, которые генерируются жесткими дисками», — говорят исследователи. В 2013 возможность кражи информации с изолированных ПК при помощи ультразвука была показана специалистами из Германии.

DiskFiltration работает даже в том случае, если жесткий диск работает очень тихо. Наиболее эффективный метод защиты от DiskFiltration — использование SSD вместо жестких дисков и гибридных дисков SHDD. Если это невозможно по какой-то причине, звук, который издает механический диск, можно глушить при помощи специального защитного корпуса. Хорошо себя показал и акустический метод защиты — в этом случае достаточно генерировать статический акустический сигнал. И последнее, что советуют разработчики DiskFiltration — избегать появления рядом с изолированными ПК устройств с микрофоном.

© Geektimes