参赛:张茜、蛋江、杜伟
机器之心整理
自1988年第一个网络蠕虫诞生以来,“互联网被危险包围”的观念已经深入人心。 如果只是这样的话,如果电脑没有连接互联网,并且禁止使用任何可移动存储介质控制风扇转速的软件,数据会安全吗? 但专门研究黑客攻击技术的研究人员告诉我们,这种想法太天真了。 他们用实验证明,即使你没有连接互联网,机箱中的风扇也可能泄露你的机密信息。
该研究的作者 Mordechai Guri 来自以色列本古里安大学。 在最近发表的一篇论文中,他提出了一种名为 AiR-ViBeR 的数据窃取技术。 令人颇为震惊的是,这项技术的“窃取”方法是利用电脑内部风扇的振动。
简单来说,这次攻击分为三个步骤。 首先,植入计算机中的恶意软件用于控制风扇速度,以调节计算机产生的机械振动。 数据将被编码到这些振动中。 接下来,将智能手机放置在电脑桌上或靠近电脑主机。 在其他地方,手机中的加速度传感器可用于收集振动信号; 最后,应用程序对获取的信号进行解码。
在过去的五年里,Mordechai Guri 一直致力于寻找一种方法,让断开连接的计算机能够在不被发现的情况下向外界发送数据。 AiR-ViBeR 是他设计的一系列奇怪方法中的最新一个。
这项研究很重要,因为存储机密文件和知识产权的政府和企业内部网现在面临被破坏的风险。
在此之前,Guri教授的团队还提出了许多从未连接的计算机中窃取数据的方法,例如:
存在多种类型的方法来攻击未连接到 Internet 的计算机。
在这项新发表的研究中,古里扩展了一种新的数据泄露媒介——“振动”。
具体来说,Guri 观察到 CPU 风扇、GPU 风扇、电源风扇或安装在计算机机箱上的任何其他风扇都会产生振动。 对于未连接互联网的计算机控制风扇转速的软件,系统中植入的恶意代码可以控制风扇旋转的速度。 因此,通过加速或减慢风扇速度,攻击者可以控制风扇振动的频率。 该频率可以被编码,然后通过电脑桌等广播。
典型工作站中的 CPU 风扇 (A) 和机箱风扇 (B)。 其中,机箱风扇是本文研究人员关注的重点。
然后,附近的攻击者可以使用智能手机中的加速度计记录这些振动,然后解码振动模式中隐含的信息,以重建从未连接的计算机系统中窃取的信息。
收集振动可以通过以下两种方式完成:
虽然AiR-ViBeR是一项非常新颖的工作,但通过振动传输数据非常慢,每秒只有半比特,这使其成为Guri和他的团队近年来提出的最慢的数据窃取方法之一。
即使 AiR-ViBeR 在理论上是可行的,攻击者也不太可能实际使用它,而更有可能选择其他更快的技术。
AiR-ViBeR 应用程序通过风扇振动接收从未连接的计算机窃取的“秘密”信息(42 位)。
如何防范AiR-ViBeR攻击?
从振动检测的角度来看,一种解决方案是在包含敏感信息的计算机上放置加速度传感器来检测异常振动。
另一种解决方案是“Fan Access Monitor”,这是一种软件级别的对策。 通常在系统中,任何程序都不应该访问风扇控制,因此可以使用端点保护来检测干扰风扇控制API或访问风扇控制总线(例如ACPI和SMBus)的代码。 这种方法的缺点是攻击者可以使用 rootkit 或其他规避技术来绕过监视器并访问风扇控制。
另外,还可以通过切断或阻断原有的传输来阻断通信通道。 这也是一种内部干扰方法。 专用程序可用于随机更改风扇速度和 RPM,但同样无法避免被内核 rootkit 禁用或规避。 。
目前,从安全角度来看,最值得信赖的外部干扰方法是将产生随机振动的组件附加到计算机上。 这种方法的弱点之一是需要维护并且无法部署在每台计算机上,但它确实比较简单且易于做到。
当然,您也可以将计算机物理隔离,放入专门的防震机箱中。 或者用水冷系统代替原来的电脑风扇,但这种方案无法大规模推广,而且非常昂贵。
防御、探测、人工干扰这三种方法各有优缺点。
有关 AiR-ViBeR 的技术细节,请参阅论文“AiR-ViBeR:通过隐蔽表面振动从气隙计算机中提取数据”
论文地址:
参考链接:
-结尾-
