Czy można uzyskać dostęp do sprzętu odizolowanego od internetu?

Internet to kłopoty. Z tego względu jednym z najbardziej radykalnych sposobów na zapewnienie bezpieczeństwa komputerowi, na którym przechowywane są najcenniejsze informacje lub który kontroluje procesy krytyczne, jest całkowite i trwałe odłączenie go od internetu, a może nawet i od wszelkich sieci, w tym lokalnych. Taka fizyczna izolacja ma swoje określenie: szczelina powietrzna.

Czy brak połączenia z Siecią rozwiązuje ten problem? Niestety nie do końca — dane znajdujące się na urządzeniach bez dostępu do Sieci można zdobyć na kilka nietypowych sposobów. W analizie takich metod kradzieży danych specjalizuje się grupa badaczy z uniwersytetu Ben-Gurion University w Izraelu, której przewodzi Mordechai Guri. Poznajmy ich odkrycia oraz sprawdźmy, czy już musimy się martwić.

Jak obejść szczelinę powietrzną

Jak wiadomo, systemy izolowane od Sieci są podatne na takie zagrożenia jak choćby ataki na łańcuch dostaw czy wykorzystanie przekupnych pracowników. W najprostszych atakach używane są np. zainfekowane dyski flash; tak właśnie rozpoczął swoją działalność legendarny Stuxnet.

Przyjmijmy, że komputer został zainfekowany. W jaki sposób można zdobyć znajdujące się na nim dane bez użycia połączenia z internetem?

Tu pomysłowość łączy się z fizyką. Komputer może być odizolowany fizycznie i nie przesyłać żadnych sygnałów na zewnątrz poprzez sieć, jednak nadal generuje ciepło, pole magnetyczne i szum. To właśnie przez tak nieoczywiste kanały można zdobyć informacje.

Ultradźwięki

Komputer bez podłączonych głośników czy sprzętu audio może emitować dźwięk w paśmie 20 Hz – 24 kHz (jeśli na przykład zmienisz częstotliwość źródła zasilania). Co więcej, podsłuchiwać może nawet urządzenie bez oddzielnego mikrofonu, ponieważ głośniki i słuchawki mogą zostać odpowiednio zmanipulowane. Znaczna część wspomnianego wyżej zakresu (a dokładnie 18 kHz – 24 kHz) nie jest słyszalna przez człowieka i można go używać do różnych celów. Na przykład w domu można za jego pomocą aktywować inteligentny głośnik.

W naszym przypadku ktoś może zainfekować komputer szkodliwym programem, który koduje docelowe informacje i przesyła je za pomocą ultradźwięków. Odbiera je inne zainfekowane urządzenie znajdujące się w pobliżu (np. smartfon), które przesyła je następnie do świata zewnętrznego. Inne odkryte przez badaczy metody wykorzystują dźwięki wytwarzane przez wentylatory i dyski twarde komputera.

Elektromagnetyzm

Nie zapominajmy o starym dobry magnetyzmie. Prąd elektryczny wytwarza pole elektromagnetyczne, które można przekonwertować na sygnał elektryczny. Możliwość sterowania prądem oznacza posiadanie kontroli nad wspomnianym polem. W ten sposób atakujący mogą użyć szkodliwego programu do wysłania sekwencji sygnałów do wyświetlacza i przekształcenia kabla monitora w swego rodzaju antenę. Wprowadzając zmiany w liczbie i częstotliwości wysłanych bajtów, mogą wzbudzać fale radiowe możliwe do wykrycia przez odbiornik FM. Na tej właśnie zasadzie działa AirHopper.

W innej metodzie używany jest szkodliwy program GSMem do wykorzystania emisji z magistrali pamięci komputera. Podobnie jak w przypadku AirHoppera, szkodliwy program wysyła przez magistralę zestaw zer i jedynek, wywołując zmiany w jej promieniowaniu elektromagnetycznym. Informacje te można zaszyfrować i odebrać za pomocą zwykłego telefonu komórkowego działającego w paśmie częstotliwości GSM, UMTS lub LTE — tu wystarczy nawet telefon bez wbudowanego radia FM.

Ogólnie należy przyjąć, że prawie każdy komponent komputera może służyć jako antena. W innym badaniu opisane są metody przesyłania danych za pomocą promieniowania z magistrali USB, interfejsu GPIO i przewodów zasilających.

Magnetyzm

Szczególną funkcją metod wykorzystujących magnesy jest to, że w niektórych przypadkach mogą one działać nawet jako klatka Faradaya, która blokuje promieniowanie elektromagnetyczne i przez to jest uważana za bardzo niezawodną ochronę.

Używanie magnetyzmu do zdobywania danych opiera się na wykorzystaniu promieniowania magnetycznego wysokiej częstotliwości, które generują procesory i które wydobywa się za pośrednictwem metalowej obudowy. To właśnie dzięki temu promieniowaniu kompasy działają nawet w klatce Faradaya. Badacze odkryli, że poprzez zmianę obciążenia rdzeni procesora przez oprogramowanie mogą kontrolować jego promieniowanie magnetyczne. Musieli oni umieścić urządzenie będące odbiornikiem w pobliżu klatki; zasięg oszacowano na 1,5 metra. Aby otrzymać informacje, badacze użyli czujnika magnetycznego podłączonego do portu szeregowego sąsiadującego komputera.

Optyka

Wszystkie komputery, nawet te izolowane od internetu, używają LED-ów, a kontrolując ich miganie, szkodliwy program może poznać tajemnice skrywane przez izolowana maszynę.

Dane mogą zostać przechwycone na przykład poprzez zhakowanie kamery monitoringu w pomieszczeniu. Tak działa np. LED-it-GO i xLED. Jeśli zaś chodzi o aIR-Jumper, kamery mogą działać zarówno jako mechanizmy infiltracji, jak i eksfiltracji; czyli mogą zarówno emitować, jak i przechwytywać promieniowanie podczerwone, które dla ludzkiego oka jest niewidzialne.

Termodynamika

Innym zaskakującym kanałem przesyłania danych z izolowanego systemu jest ciepło. Powietrze w komputerze jest ogrzewane przez procesor, kartę graficzną, dysk twardy i urządzenia peryferyjne (w zasadzie łatwiej byłoby wymienić części, które nie generują ciepła). Komputery mają również wbudowane czujniki temperatury, aby zapobiegać przegrzaniu.

Jeśli jeden komputer odizolowany od internetu dostanie instrukcje od szkodliwego programu, aby zmienić temperaturę, druga maszyna z dostępem do Sieci może zarejestrować zmiany, przekonwertować je na zrozumiałe informacje i wysłać dane. Aby komputery mogły komunikować się ze sobą za pośrednictwem sygnałów termicznych, muszą znajdować się stosunkowo blisko siebie — nie dalej niż 40 cm. Przykładem wykorzystywania tej metody jest BitWhisper.

Fale sejsmiczne

Wibracje to ostatni rodzaj promieniowania przesyłającego dane, jaki sprawdzili badacze. Szkodliwy program zmienia prędkość wentylatora w komputerze, jednak w tym przypadku szyfruje docelowe informacje w wibracjach, a nie w dźwiękach. Fale te przechwytuje następnie aplikacja akcelerometru na smartfonie leżącym na tej samej powierzchni co komputer.

Wadą tej metody jest bardzo niska prędkość niezawodnego transferu danych — około 0,5 b/s. Przesłanie zaledwie kilku kilobajtów może więc zająć kilka dni. Jeśli jednak atakującemu się nie spieszy, może skorzystać z tej metody.

Czy to już czas, aby się tym przejmować?

Najpierw dobra wiadomość: wspomniane metody kradzieży danych są bardzo skomplikowane, więc raczej nikt nie będzie z nich korzystać, aby zdobyć oświadczenia finansowe czy bazę danych klientów. Jeśli jednak dane, z którymi pracujesz, leżą w kręgu zainteresowania zagranicznych agencji wywiadowczych lub szpiegów przemysłowych, musisz przynajmniej mieć świadomość tego zagrożenia.

Jak zapewnić sobie bezpieczeństwo

Prostym, lecz skutecznym sposobem zapobiegania kradzieży informacji niejawnych jest zablokowanie używania wszystkich urządzeń obcych, w tym wszelkiego rodzaju telefonów komórkowych, na terenie firmy. Jeśli nie możesz sobie na to pozwolić lub chcesz wdrożyć dodatkowe środki ochrony:

• Zorganizuj pomieszczenia, w których mają znajdować się komputery bez dostępu do sieci, i zachowaj odległość pomiędzy urządzeniami (coś na kształt dystansu społecznego dla urządzeń).
• Chroń pomieszczenia lub umieść komputer w klatce Faradaya (pamiętaj jednak o informacjach zawartych w sekcji o magnetyzmie).
• Samodzielnie przeprowadzaj pomiary promieniowania magnetycznego komputera i szukaj ewentualnych anomalii.
• Ogranicz lub zablokuj używanie głośników.
• Wyłącz cały sprzęt dźwiękowy w komputerze.
• Spraw, aby w pomieszczeniach, w których znajduje się komputer izolowany, emitowane były zakłócenia dźwiękowe.
• Ogranicz funkcję podczerwieni w kamerach monitoringu (niestety w ten sposób zmniejszysz ich skuteczność w ciemności).
• Zmniejsz widoczność LED-ów (zaklej taśmą, odłącz, zdemontuj).
• Wyłącz porty USB w komputerze izolowanym, aby uniknąć infekcji.

Ponadto badacze zauważyli, że w niemal wszystkich przypadkach zwiększenie ochrony na poziomie oprogramowania zwiększa skuteczność izolacji. Innymi słowy, warto zainstalować w niezawodne rozwiązania zabezpieczające, które potrafią rozpoznawać szkodliwą aktywność. Jeśli izolowany sprzęt jest wykorzystywany do standardowych działań (dość popularny scenariusz w przypadku komputerów izolowanych), przełącz system ochrony na tryb odmowy domyślnej, który automatycznie blokuje uruchamianie nieznanych programów i procesów.