Исследователи передали данные с настольного ПК через вибрации по столу27.04.2020 14:18

3ojgobqmyvwshp1mmohj9llpjbu.jpeg

Группа учёных из университета имени Бен-Гуриона в Негеве (Израиль) изучает способы передачи информации с изолированных компьютеров (airgap). Они уже разработали методы передачи данных морганием светодиода HDD, маршуртизатора или клавиатуры, электромагнитным излучением с шины USB и с карты GPU, звуками кулера GPU и магнитной головки HDD, через тепловое излучение и аудиоколонки (в неслышимом диапазоне), по изменению энергопотребления ПК и яркости дисплея. Оказывается, этим список не ограничивается.

13 апреля 2020 года учёные опубликовали описание новой атаки AiR-ViBeR с эксфильтрацией данных через вибрации вентилятора. Скорость передачи ниже, чем у других способов: всего 0,5 бит в секунду при закрытой крышке системного блока.
Коллектив исследователей под руководством Мордехая Гури (Mordechai Guri) изучил вибрации, которые создают вентиляторы в системном блоке.

wwke434oklbcklwqak_3ewo3mya.png
Источник вибраций — дисбаланс, когда центр масс не совпадает с геометрическим центром вращения

Исследователи разработали протокол передачи данных, основанный на изменении скорости вращения винтилятора — и, следовательно, вибраций. Метод получил кодовое название AiR-ViBeR.

Изолированные системы в локальных сетях без доступа к интернету часто используются в государственных или корпоративных сетях для хранения конфиденциальных данных. Исследование Гури не рассматривает способы компрометации и внедрения вредоносных программ в эти сверхзащищённые системы, а вместо этого фокусируется на инновационных способах передачи информации такими способами, на которые не рассчитаны файрволы и системы безопасности.

Вредоносный код, занесённый в систему жертвы, управляет скоростью работы вентилятора. В этом конкретном эксперименте пин FAN CONTROL с материнской платы подключили к пину GPIO12 на Raspberry Pi 3, а модуляцию сигнала путём изменения частоты вращения вентилятора выполнял питоновский скрипт.

bfpvzlrcthzfg7vlyas1hoq4cle.png

jym2of_c7rcgbqqi_etnmelhedc.png

Сигнал принимается акселерометром смартфона, который лежит на расстоянии около метра от компьютера.

Алгоритм демодуляции приведён ниже.

uoh8yggzh5clnuirivntq5kglro.png

Здесь у потенциального злоумышленника два варианта: он может или разместить свой смартфон недалеко от заражённого компьютера, или заразить смартфоны сотрудников, которые работают с этим компьютером. Датчики акселерометра в современных смартфонах доступны любому приложению, не требуя разрешения пользователя, что упрощает атаку, пишут исследователи.

nhoytles_s7ylhxr_6pbj2ds01y.png


Приложение AiR-ViBeR на смартфоне приняло с компьютера секретное слово через вибрации стола

Хотя атаку AiR-ViBeR можно считать теоретически возможной, крайне маловероятно, что её будут использовать в реальной жизни. Скорость передачи слишком мала, и злоумышленники лучше прибегнут к любому другому способу снятия информации с изолированного компьютера.

fyatctwthfxshdt1hqdzehazs5o.jpeg
Отношение сигнала к шуму в разных положениях приёмного устройства относительно источника сигнала (позиции показаны на фото вверху)

Однако администраторам секретных систем следует иметь в виду теоретическую возможность передачи данных через вентилятор компьютера.


Обычным пользователям вряд ли стоит опасаться этой угрозы. С такой скоростью текстовый документ будет передаваться от нескольких месяцев до года. За какой-то разумный срок можно передать разве что пароль или ключ шифрования.

© Habrahabr.ru