Можно ли получить данные с оборудования, отключенного от Интернета

Интернет создаёт много проблем. По этой причине одним из наиболее радикальных способов обеспечения безопасности компьютера, на котором хранится наиболее ценная информация или который контролирует критические процессы, является полное и постоянное отключение от Интернета, или, может быть, даже от всех сетей, включая локальные. Такая физическая изоляция имеет своё название: воздушный зазор.

Казалось бы, отключение от сети решает все проблемы безопасности. К сожалению, не полностью – данные на устройствах без доступа в Интернет могут быть украдены несколькими необычными способами.

Группа исследователей из Университета Бен-Гуриона в Израиле специализируется на анализе таких методов кражи данных под руководством Мордехая Гури. Давайте узнаем их открытия и посмотрим, нужно ли нам беспокоиться.

Как обойти воздушный зазор

Как вы знаете, системы, изолированные от Интернета, уязвимы для таких угроз, как атаки на цепочку поставок или использование коррумпированных сотрудников. В простейших атаках используются зараженные флешки; Так начал свою деятельность легендарный Stuxnet.

Предположим, ваш компьютер был заражен. Как можно получить данные с него, не используя подключение к интернету?

Здесь изобретательность сочетается с физикой. Компьютер может быть физически изолирован и не передавать какие-либо сигналы через сеть, но он по-прежнему генерирует тепло, магнитное поле и шум. Именно через такие неочевидные каналы позволяют получить информацию.

Кража данных с помощью ультразвука

Компьютер без подключенных динамиков или аудиооборудования может излучать звук в диапазоне 20 Гц - 24 кГц (например, при изменении частоты источника питания). Более того, даже устройство без отдельного микрофона можно прослушивать, потому что динамиками и наушниками можно соответствующим образом манипулировать. Большая часть вышеупомянутого диапазона (в частности, 18 кГц - 24 кГц) не доступна для людей и может использоваться для различных целей. Например, дома вы можете использовать его для активации умного динамика.

В нашем случае кто-то может заразить ваш компьютер вредоносной программой, которая кодирует целевую информацию и отправляет её с помощью ультразвука. Он принимается другим зараженным устройством поблизости (например, смартфоном), который затем отправляет данные во внешний мир.

Другие методы, открытые исследователями, используют звуки, издаваемые вентиляторами и жесткими дисками компьютерами.

Кража данных с помощью электромагнетизма

Давайте не будем забывать про старый добрый магнетизм. Электрический ток генерирует электромагнитное поле, которое может быть преобразовано в электрический сигнал. Способность контролировать ток означает возможность контролировать магнитное поле. Таким образом, злоумышленники могут использовать вредоносную программу для отправки последовательности сигналов на дисплей и преобразования кабеля монитора в своего рода антенну. Изменяя количество и частоту отправляемых байтов, они могут запускать радиоволны, которые могут быть обнаружены FM-приемником. Так работает AirHopper.

Другой метод использует вредоносную программу GSM для использования излучений от шины памяти компьютера. Как и в случае с AirHopper, вредоносная программа отправляет набор нулей и единиц через шину, вызывая изменения электромагнитного излучения. Эта информация может быть зашифрована и получена с помощью обычного мобильного телефона, работающего в полосе частот GSM, UMTS или LTE – даже телефона без встроенного FM-радио.

В общем, практически любой компонент компьютера может служить антенной. Другие исследования описывают методы передачи данных с использованием USB, интерфейса GPIO и сетевых шнуров.

Кража данных с помощью магнетизма

Использование магнетизма для сбора данных основано на использовании высокочастотного магнитного излучения, которое генерирует процессор и которое проходит через металлический корпус.

Исследователи обнаружили, что, изменяя программную нагрузку на ядра процессора, они могут контролировать его магнитное излучение. Нужно лишь разместить приёмное устройство рядом с корпусом (дальность была оценена в 1,5 метра). Для получения информации исследователи использовали магнитный датчик, подключенный к последовательному порту соседнего компьютера.

Кража данных с помощью оптического сигнала

Все компьютеры, даже изолированные от Интернета, используют светодиоды, и, контролируя их мигание, вредоносная программа может выдать секреты изолированной машины.

Данные могут быть получены, например, через взлом камеры наблюдения в комнате. Так работают LED-it-GO и xLED. Что касается aIR-Jumper, камеры используют механизмы проникновения и эксфильтрации; то есть они могут излучать и захватывать инфракрасное излучение, которое невидимо для человеческого глаза.

Кража данных с помощью термодинамики

Тепло – ещё один удивительный канал для передачи данных из изолированной системы. Воздух в компьютере нагревается процессором, видеокартой, жестким диском и периферийными устройствами (в принципе, было бы проще перечислить детали, которые не выделяют тепло). Компьютеры также имеют встроенные датчики температуры для предотвращения перегрева.

Если один компьютер, изолированный от Интернета, получает от вредоносной программы инструкции по изменению температуры, второй компьютер с доступом к Интернету может зарегистрировать изменения, преобразовать их в понятную информацию и отправить данные. Чтобы компьютеры могли общаться друг с другом посредством тепловых сигналов, они должны быть относительно близко друг к другу – не более 40 см. Примером использования этого метода является BitWhisper.

Кража данных с помощью вибрации

Вибрация – это ещё один тип излучения, который можно использовать для передачи данных. Вредоносная программа изменяет скорость вращения вентилятора в компьютере, но в этом случае шифрует целевую информацию в вибрациях, а не звуках. Эти волны затем фиксируются приложением акселерометра на смартфоне, лежащем на той же поверхности, что и компьютер.

Недостатком этого способа является очень низкая скорость надежной передачи данных – около 0,5 б/с. Поэтому загрузка всего нескольких килобайт может занять несколько дней. Однако, если злоумышленник не спешит, он может использовать этот метод.

Как обеспечить вашу безопасность

Простой, но эффективный способ предотвратить кражу секретной информации – заблокировать использование внутри компании всех посторонних устройств, включая сотовые телефоны всех типов.

Если вы не можете себе это позволить или хотите принять дополнительные меры защиты:

• Организуйте помещения, в которых должны находиться компьютеры без доступа к сети, и соблюдайте расстояние между устройствами (что-то вроде социального расстояния для устройств).
• Защитите комнату или поместите компьютер в клетку Фарадея (но помните, что она не защитит от использования магнетизма).
• Измерьте магнитное излучение компьютера самостоятельно и поищите любые аномалии.
• Ограничьте или заблокируйте использование динамика.
• Выключите всё звуковое оборудование на вашем компьютере.
• Создайте источник шума в комнатах, где находятся изолированные компьютеры.
• Ограничьте инфракрасную функцию в камерах наблюдения (к сожалению, таким образом вы снизите их эффективность в темноте).
• Уменьшите видимость светодиодов (накройте, отключите, извлеките).
• Отключите порты USB на изолированном компьютере, чтобы избежать заражения.

Кроме того, исследователи отметили, что практически во всех случаях повышение защиты на уровне программного обеспечения повышает эффективность изоляции. Другими словами, стоит установить надежные решения безопасности, способные распознавать вредоносные действия.

Если изолированное оборудование используется для стандартных операций (довольно распространенный сценарий для изолированных компьютеров), переключите систему защиты в режим отказа по умолчанию, который автоматически блокирует запуск неизвестных программ и процессов.