Некоторые люди считают, что отключение компьютера от сети делает невозможным его взлом. Эти автономные атаки на ПК показывают, что изоляция не так безопасна, как вы себе представляете.
Утечки данных быстро становятся частью повседневной онлайн-жизни. Даже беглый взгляд на новости покажет как на самом деле зыбко состояние конфиденциальной или личной информации в Интернете.
Некоторые предлагают перевести компьютер в автономный режим, чтобы изолировать данные от онлайн-мира. Без подключения к внешнему миру данные должны быть в безопасности, верно? Однако это не так...
1. USB-накопители и социальная инженерия
Атака с помощью инфицированной флешки была запущена после того, как зараженные USB-накопители были оставлены рядом с целевой организацией, в которое хакер хотел проникнуть. Это форма атаки является частью социальной инженерией. Нападавший знал, что кто-нибудь обязательно возьмет оставленную флешку и подключит ее к компьютеру для того, чтобы увидеть файлы, хранящиеся на USB-диске.
Люди часто так поступают, причем не из любопытства, а с благими намерениями - они хотят вернуть, утерянную кем-то, флешку. Злоумышленник использует эту человеческую черту, эффективно обманывая жертву, чтобы загрузить вредоносное программное обеспечение на целевой компьютер через зараженный флэш-накопитель. Этот тип манипуляции известен как социальная инженерия.
Поскольку злодеи не собираются привлекать внимание к взлому, вы не увидите на экране компьютера баннеров и предупреждений, и не узнаете, что ваш ПК скомпрометирован. Соответственно, не предприняв мер длдя защиты устройства, вы оставляете свой ПК незащищенным и открытым для использования злоумышленником.
В контексте автономного ПК мошеннический USB-накопитель может быть использован в ряде атак, даже тех, где злоумышленник имеет физический доступ к компьютеру для самостоятельной загрузки вредоносного программного обеспечения через зараженное устройство хранения. Такой метод использовало ЦРУ в своей атаке, известной как Brutal Kangaroo, и Wikileaks разоблачил эту технику нападения в 2017 году.
2. Атаки diskFiltration
DiskFiltration: эксфильтрация данных с компьютеров с воздушным зазором
Если у организации есть очень конфиденциальные данные или системы, они могут рассмотреть возможность зашиты ПК с помощью метода воздушного зазора хост-компьютера. В этом случае ПК переводится в автономный режим: физически отключается от Интернета и всех внутренних сетей, чтобы эффективно изолировать его. Если установка соответствует требованиям военных спецификаций, ПК также будет расположен вдали от внешних стен и всей проводки для предотвращения электромагнитных или электрических атак.
Физическая изоляция (англ. air gap «воздушный зазор» — одна из мер обеспечения информационной безопасности, которая заключается в том, что безопасная компьютерная сеть физически изолирована от небезопасных сетей: интернета и локальных сетей с низким уровнем безопасности. Физическая изоляция применяется в компьютерных сетях при необходимости обеспечить высокий уровень безопасности.
Воздушный зазор считается наилучшим способом защиты высокоценных систем от хакерской атаки, но некоторые исследования показывают, что этот метод защиты может быть не таким безопасным, каким его задумывали. Исследования, проведенные в Университете Бен-Гуриона, показали, что компьютер с воздушным зазором все равно может быть скомпрометирован. Даже без установленного вредоносного программного обеспечения, доступа к ПК или социальной инженерии.
Метод извлечения, известный как DiskFiltration, основан не на эксплуатации компьютера, а на анализе его звуков. Хотя твердотельные накопители (SSD) становятся все более распространенными, многие системы по-прежнему оснащаются жесткими дисками (HDD). Эти устройства хранят данные на диске, как виниловая пластинка. Аналогичным образом, жесткий диск требует перемещения рычага по диску для чтения и записи данных.
Это физическое движение порождает шум, который мы воспринимаем как низкий фоновый гул или жужжание. Однако при атаке DiskFiltration шумы диска используются для сбора информации, хранящейся на них. Компьютеры с воздушным зазором обычно не имеют подключенных динамиков или микрофонов, поэтому они не могут усиливать звук жесткого диска. Вместо этого этот шум передается на смартфон или приемник умных часов на расстоянии до двух метров. Этот эксплойт является лишь одним из способов взлома автономного компьютера
DiskFIltration так же используют для компрометации подключенных к сети устройств, но при этом с усиленной защитой от проникновения в систему злоумышленников. Во время тестирования атака DiskFiltration могла передавать данные со скоростью 180 бит в минуту или 10 800 бит в час. К счастью, эта атака неэффективна против устройств с твердотельными накопителями, так как нет движущихся частей и, следовательно, нет шума.
3. Атака Fansmitter
Fansmitter: Утечка данных с компьютеров без динамиков
Хорошо, но цифровой мир постепенно переходит на твердотельные накопители, для которых атака diskFiltration уже не эффективна. Значит такие ПК защищены лучше? Оказывается, нет...
Все те же исследователи из Университета Бен-Гуриона изучили и опробовали аналогичный метод извлечения информации с автономного ПК с помощью вентиляторов компьютера. Эта атака известна как Fansmitter.
Вентиляторы компьютера позволяют воздуху проходить над теплыми, иногда горячими, внутренними компонентами компьютера. Отработанный воздух отводит тепло из системы, чтобы поддерживать оптимальную производительность компьютера. В большинстве компьютеров существует постоянный цикл обратной связи между вентилятором и материнской платой. Датчики вентилятора сообщают о скорости вращения обратно на материнскую плату.
Компьютер вычисляет, нужно ли увеличивать или уменьшать вентиляторы в зависимости от температуры. Атака Fansmitter использует этот цикл обратной связи, переопределяя сохраненное оптимальное значение температуры. Вместо этого скорость вентилятора регулируется для излучения определенной частоты, которая может быть использована для передачи данных. Как и в случае с DiskFiltration, полученный звук захватывается приемником смартфона. Наиболее эффективной контрмерой является либо установка малошумных вентиляторов, либо системы водяного охлаждения.
4. Изменение температуры с помощью BitWhisper
BitWhisper - Прыжки через воздушный зазор с теплом
Большинство взломов автономных ПК предполагают извлечение данных из системы, анализируя шумы и звуки, которые издает целевое устройство. Однако существуют и альтернативные методы.
Атака BitWhisper использует тепло для компрометации автономного компьютера. У этого метода есть два непременных условия.
Во-первых: Должно быть два компьютера; один автономный и с воздушным зазором, другой подключен к сети.
Во-вторых: Обе машины также должны быть заражены вредоносным ПО.
Два устройства должны находиться в пределах 15 дюймов (не более 40 см) друг от друга. Учитывая эту точную настройку, она наименее жизнеспособна для реального применения, но все еще теоретически возможна.
После того, как все предварительные условия были выполнены, сетевой ПК изменяет температуру в помещении, регулируя нагрузку, возложенную на его процессор и графический процессор. Тепловые датчики на ПК с воздушным зазором обнаруживают эти изменения и адаптируют производительность вентилятора для компенсации.
Используя эту систему, BitWhisper использует сетевой компьютер для отправки команд на ПК с воздушным зазором. Автономный компьютер преобразует данные датчика в двоичные, поэтому либо 1, либо 0. Эти входы используются в качестве основы для связи между компьютерами. Помимо точной настройки, необходимой для того, чтобы атака сработал, этот метод очень медленный; скорость передачи данных всего восемь бит в час.
5. Проводные клавиатуры и клавиатуры ноутбуков
Многие из нас в настоящее время используют беспроводные клавиатуры. Однако проводные разновидности по-прежнему распространены во всем мире, особенно в деловых или институциональных условиях. Эти объекты, скорее всего, будут хранить конфиденциальные данные и системы, и поэтому наиболее подвержены риску атаки.
При нажатии клавиши на проводной клавиатуре она преобразуется в напряжение и передается на компьютер по кабелю. Эти кабели неэкранированы, поэтому сигналы просачиваются в основной кабель питания ПК. Подключив мониторы в электрическую сеть, можно обнаружить эти небольшие изменения в мощности.
Хотя данные изначально выглядят беспорядочными и неясными, как только фильтр применяется для удаления фонового шума, становится возможным оценивать отдельные нажатия клавиш. Однако этот тип атаки возможен только для ПК, которые постоянно подключены к электрической сети.
Портативные устройства, такие как ноутбуки, также могут пропускать данные с клавиатуры. Во время презентации в Black Hat в 2009 году под названием «Sniffing Keystrokes With Lasers and Voltmeters» исследователи показали, что, направив лазер на клавиатуру ноутбука, можно перевести вибрации от нажатий клавиш в электрические сигналы.
Благодаря конструкции и дизайну ноутбука, каждая клавиша имеет уникальный профиль вибрации при нажатии. Злоумышленник может собрать именно то, что было набрано на клавиатуре, без вредоносных программ, таких как кейлоггеры, проанализировав электрические сигналы.
Что мне с этого?
Эти атаки демонстрируют, что можно взломать автономный ПК, даже если у вас нет к нему физического доступа и само устройство отключено от Интернета. Однако, хотя технически это возможно, эти атаки являются технически очень сложными. И все эти методы требуют определенной настройки или оптимальных условий, а также высокой технической оснащенности.
И даже если допустить, что кто-то, воспользовавшись инструментами для взлома автономного устройства, начнет атаку, есть вероятность того, что у него ничего не получится. Поскольку ни одна из этих атак напрямую не захватывает желаемые данные. Вместо этого злодей, отфильтровав полученные цифровые "шумы", еще должен их тщательно проанализировать, чтобы получить толику полезной информации.
Учитывая сложность атаки на автономный или защищенный воздушным зазором ПК, многие хакеры нашли альтернативный путь; установка вредоносного ПО до того, как компьютер достигнет места назначения.
