Изобретательность хакеров не знает границ — помимо физических методов увода информации типа установки кейлогеров, рассылки зараженных писем или инфицирования обновлений легальных программ (или их обновлений) существуют бесконтактные, которые в первую очередь нацелены на так называемые системы с «воздушным зазором» (air-gapped). Последние не имеют связи с внешним миром, они как правило не подключены к Интернету или к внешним сетям.
Механизм физической изоляции может и не являться «воздушным зазором» в буквальном смысле. Например, air-gapped ПК может подсоединяться к другим машинам по специальному каналу с помощью отдельных криптографических устройств, которые туннелируют трафик через небезопасные сети, при этом не выдавая изменения объёма сетевого трафика и размера пакетов. Считается, что установить связь с компьютерами на противоположных сторонах воздушного зазора практически невозможно.
Впрочем против нетрадиционных методов защиты существуют нетрадиционные методы взлома. Робин Харрис из ZDNet классифицировал их и, как оказалось, их не так уж мало:
- при помощи электромагнитного излучения (начальный вектор атак, который могут использовать для вторжения в систему хакеры или киберпреступники);
- акустические колебания (шум динамиков, модулированный шум вентилятора и дисковода);
- тепловое излучение (очень низкая скорость считывания данных);
- взлом по оптическим каналам (продемонстрирована скорость увода информации до 4000 бит/с).
Утечки информации по электромагнитным каналам осуществляются в диапазоне от перехвата электромагнитных излучений с шины памяти до утечек через прослушку USB-портов и кабелей. Такого типа утечки информации учеными хорошо изучены и документированы, в качестве защиты от перехвата данных через электромагнитное излучение исследователи рекомендуют применять экранирование.
Второй бесконтактный тип прослушки набрал популярность после того, как на руках населения осела огромная масса смартфонов. Этот тип утечек информации спровоцировал взлом микрофонов смартфонов. Специалисты заключили, что хакерам удалось подобрать ключ к аудиосингалам, вынудив микрофоны пользователей работать в фоне и передавать данные на сторонние сервера.
Ещё один вид бесконтактного считывания данных по излучению тепла — термический, но скорость пропускания при этой методике взлома очень невысокая — несколько десятков бит в секунду, к тому же передача может осуществляться только на небольшое расстояние.
Взлом оптических каналов передачи данных — четвертый метод бесконтактного доступа к информации. Недавние исследования показывают его популярность: хакеры неоднократно демонстрировали взлом камер наблюдения с последующей передачей значительного объема данных через LED-источник. Учитывая его новизну, Харрис осветил светодиодный метод кражи данных наиболее подробно.
В современном компьютерном оборудовании используется три класса LED:
- немодулированные светодиоды, которые показывают состояние отдельных модулей устройства, например, степень заряда батареи;
- модулированные LED с метками времени, которые отображают уровни активности устройства;
- модулированные светодиоды, которые показывают содержимое обрабатываемых данных.
Особенность атак через LED состоит в том, что пользователи могут не подозревать о взломе — человеческий глаз с трудом обнаруживает мерцания на частоте выше 60 Гц. С учетом того, что многие потребительские устройства, такие как новый iPhone X, оснащены инфракрасными светодиодами для передачи или приема данных, вероятность их взлома довольно велика. Во многих сетевых устройствах LED применяются для индикации активности данных, но помимо этого они могут сигнализировать о прохождении через них трафика.
Ранее в этом году исследователи из израильского Университета имени Бен-Гуриона разработали концепцию атаки LED-it-GO. Она предусматривает считывание информации через мерцание обыкновенного светодиода. В докладе исследователей речь идет не о любом диоде на выбор, а конкретно о диоде-индикаторе работы HDD. Такими «лампочками» оснащаются большинство десктопов и многие ноутбуки, и на их мерцание мало кто обращает внимание.
Среди испытанных в деле девайсов были камеры GoPro, профессиональные камеры видеонаблюдения, DSLR-камеры, HD веб-камеры, камеры смартфонов и даже Google Glass. Если большинство гаджетов продемонстрировало весьма низкую скорость передачи данных (порядка 15 бит/с), то заметно отличилась модель GoPro Hero5, показавшая результат 120 бит/с. Максимальная скорость, которой удалось достичь в ходе тестов — 4000 бит/с (0,5 Кб/с). Такие скорости позволяют обрабатывать ключи шифрования, фиксировать набор символов на клавиатуре, а также перехватывать текстовые и двоичные файлы.
В принципе, взломать можно любое устройство, которое, как и HDD, обладает встроенными контроллерами и микропроцессором. Ранее было доказано, что скрытым каналом передачи данных обладают принтеры.
Помимо модулированных индикаторов взлому подвержены и немодулированные LED-индикаторы состояния. Информация об этом содержится в исследовании под названием «Эксфильтрация данных из изолированных сетей при помощи немодулированных светодиодов состояния», которое провела Лаборатория по изучению электромагнитных полей при Академии наук Китая. В исследовании раскрывается способ скрытной передачи данных посредством LED-индикаторов клавиатуры (таких, к примеру, которые показывают состояние работы клавиш Caps Lock или Num Lock) и IP-камеры без какого-либо участия пользователя.
Ученые говорят, что засвидетельствовать взлом может беспорядочное включение и выключение светодиодов клавиатуры. Речь идет об одном из трех основных видов цифровой модуляции On-Off Keying, при котором амплитуда сигнала при выключении становится нулевой и единичной — при включении. «В нашем случае для модуляции сигнала используется двоичная частотная манипуляция (B-FSK), одна фликкерная частота f0 для кодирования логического нуля (0) и фликкерная частота f1 для кодирования логической единицы (1)», — сообщается в работе китайских ИБ-экспертов.
Они пояснили, что LED-индикаторы клавиатуры немодулируемые, и передача данных не обязательно будет сопровождаться мерцанием. Дело в том, что период мерцания светодиодного индикатора составляет менее 50 мс и поэтому неуловим человеческому глазу. Учитывая, что клавиша Num Lock всегда находится в рабочем состоянии, она представляет собой постоянный канал скрытой передачи данных. Единственное ограничение этого метода — скорость, которая не превышает 12 бит/с, но хакерам будет её достаточно, если они захотят «увести» ключи шифрования, например.
Исследователи также отмечают, что большинство роутеров и других сетевых устройств комплектуются более чем одним светодиодным индикатором, так что передачу данных можно значительно ускорить, задействовав сразу несколько диодов. Во время тестов специалисты воссоздали различные сценарии атак и использовали для перехвата LED-сигналов множество устройств. Наилучший результат дало применение оптических сенсоров, так как они способны распознавать LED-сигналы на более высокой скорости, что позволяет создать высокоскоростной канал передачи информации — до 1000 бит/с для одного диода.