一位安全研究人员发现了一种从气隙系统中窃取数据的新方法,它使用大多数计算机内部的串行 ATA (SATA) 电缆作为无线天线,通过无线电信号发送数据。

SATAsnake.webp

气隙系统用于需要与安全性较低的网络物理隔离的关键环境,例如连接到公共互联网的网络。

它们通常出现在军事、政府和核开发计划以及关键部门(例如石油、天然气、金融、电力)的工业控制系统中。

该攻击被称为“SATAn”,由以色列本古里安大学网络安全研究实验室研发负责人 Mordechai Guri 发现,理论上可以帮助对手窃取敏感信息。

SATA 攻击

要使 SATAn 攻击成功,攻击者首先需要感染目标气隙系统。虽然这不是一件容易的事,但有报道称,自 2010 年以来,物理上的初步妥协,Stuxnet 是最臭名昭著的一个。

植入在气隙网络上的恶意软件可以针对敏感信息,并通过对其进行调制和编码来为泄露做好准备。

研究人员发现,计算机中的 SATA 电缆可以通过无线电信道传输 5.9995 到 5.9996 GHz 之间对应特定字符的电磁信号。

SATA 电缆充当天线

用作天线的 SATA 电缆 (arxiv.org)

SATA 接口可以在某些读写操作期间发出无线电信号。SATAn 攻击中使用的恶意软件可以劫持合法软件进程,以执行反映被盗数据内容的非常特定的读/写功能。

在研究期间,Guri 能够产生电磁信号,将“秘密”一词从气隙系统传送到附近的计算机。接收器需要识别来自 SATA 3 电缆的有效传输的开始。

产生与字符相对应的电磁信号

生成与字符相对应的电磁信号 (arxiv.org)

研究人员在一篇技术论文中解释说:“在真实的攻击场景中,接收器可能被实现为附近计算机中的一个进程,或者嵌入到专用硬件接收器中。 ”

攻击限制

通过对各种系统和设置的实验,研究人员确定气隙计算机到接收器的最大距离不能大于 120 厘米(3.9 英尺),否则误码率会增加太多,无法确保数据的完整性。消息(超过 15%)。

发射器和接收器之间的距离也会影响发送数据所需的时间。根据间隙,“已经调制和接收了 0.2 秒、0.4 秒、0.6 秒、0.8 秒、1.0 秒和 1.2 秒的三位序列。”

我们以 1 位/秒的比特率传输数据,这表明这是生成足够强的信号以进行调制的最短时间

此外,研究人员发现,当滥用虚拟机执行数据转换读/写操作时,SATA 电缆上的信号质量会显着降低。

主机操作在 SATA 上产生更强的信号

主机操作在 SATA (arxiv.org)上产生更强的信号

论文中提出的一个有趣的对策是 SATA 干扰器,它监视来自合法应用程序的可疑读/写操作,并向信号添加噪声。

清洁和干扰信号

清洁和干扰信号 (arxiv.org)

然而,用于生成干扰信号的过度磁盘使用会加速硬件磨损,并且在运行时环境中区分合法和恶意操作将是一项挑战。

Mordechai Guri 参与了超过两打项目,研究各种渠道,这些渠道可以秘密地从气隙网络中窃取数据。

多年来,Guri 和他的团队证明,孤立的网络仍然可以通过监视器、扬声器、电缆、CPU 等系统中存在的组件产生的信号(光、振动、声音、热、磁场或电磁场)泄露敏感信息、硬盘、相机、键盘。

Tags: none

我有个想法