警告：非智能手機(jī)可入侵核電站的物理隔絕設(shè)備

2015-07-30 10:48:33 安全牛　點(diǎn)擊量：評論 (0)

核電站這樣高度敏感的環(huán)境要求頂級安全性。通常而言，實(shí)現(xiàn)這種安全性的方式是物理隔離：使設(shè)備無法訪問互聯(lián)網(wǎng)，防止工作人員使用USB存儲(chǔ)設(shè)備。當(dāng)工作內(nèi)容屬于機(jī)密，或者牽扯到敏感的貿(mào)易秘密時(shí)，各大公司往往會(huì)制定嚴(yán)格的規(guī)則，禁止將智能手機(jī)帶入工作區(qū)，因?yàn)橹悄茉O(shè)備很容易在用戶不知情的情況下被用于監(jiān)聽。

但以色列的研究人已經(jīng)開發(fā)了一種新方法，可以從配備了上述所有防護(hù)手段的設(shè)備中竊取機(jī)密。該方法中只需要GSM網(wǎng)絡(luò)、電磁波和一部具備基本功能的低端非智能機(jī)。尤瓦爾•伊洛維奇（Yuval Elovici）是位于以色列內(nèi)蓋夫沙漠的本古里安大學(xué)網(wǎng)絡(luò)安全研究中心主管，他表示，這是物理隔離系統(tǒng)入侵領(lǐng)域的一次突破，安全防務(wù)公司和其它安全主體應(yīng)當(dāng)提起注意，盡快更新自家的安全手冊，禁止員工和訪客攜帶能夠接收射頻信號(hào)的設(shè)備。

要實(shí)現(xiàn)這種攻擊，需要首先在目標(biāo)電腦和用到的手機(jī)上都安裝惡意軟件，在此之后則不需要額外操作，利用兩邊設(shè)備的自帶功能即可完成攻擊。從原理上來看，計(jì)算機(jī)在正常運(yùn)行時(shí)會(huì)同時(shí)發(fā)出電磁輻射，而手機(jī)從本質(zhì)上來講是對這類信號(hào)“敏感的接收器”。將兩邊的因素結(jié)合在一起，不難理解黑客們會(huì)想要通過這種隱蔽信道來竊取數(shù)據(jù)。

這項(xiàng)研究建立在去年成果的基礎(chǔ)上。去年，本古里安大學(xué)的研究小組研究了通過智能手機(jī)從物理隔離設(shè)備上竊取數(shù)據(jù)的方法。但去年的研究內(nèi)容是通過智能手機(jī)上的FM無線電功能來拾取電腦顯卡發(fā)出的無線電波，和今年略有不同。

今年，研究人員采取了另外一種方式傳輸數(shù)據(jù)，只需要非智能機(jī)即可實(shí)現(xiàn)。利用這種方法，可以滲透進(jìn)那些限制智能手機(jī)進(jìn)入的環(huán)境：由于非智能機(jī)只具有通話和短信功能，人們不認(rèn)為它們能夠成為間諜的監(jiān)聽設(shè)備。非智能機(jī)往往被允許帶入一些敏感環(huán)境，而智能手機(jī)則不行。一份公司生產(chǎn)部門行動(dòng)白皮書顯示，英特爾生產(chǎn)部門的員工只能使用“公司配備的、只帶有通話和短信功能的手機(jī)”，這些手機(jī)沒有攝像頭、視頻播放以及WiFi功能。但以色列的這項(xiàng)最新研究表明，即使是英特爾公司使用的那些只具有基本功能的手機(jī)，也可能成為公司的威脅。

研究人員的論文中提到，“不像領(lǐng)域內(nèi)最近發(fā)表的一些其它成果，這種入侵方式中所使用到的設(shè)備的確是現(xiàn)實(shí)環(huán)境中正在使用的：電腦/服務(wù)器、非智能機(jī)”。

盡管這種攻擊只能提取一小部分?jǐn)?shù)據(jù)，傳輸距離也很短，也足以在一兩分鐘內(nèi)拿到密碼甚至加密密鑰了，具體耗時(shí)取決于密碼的長度。但攻擊者實(shí)際上不需要電話也能提取數(shù)據(jù)。研究者們發(fā)現(xiàn)，他們也可以通過一個(gè)安裝在30米外的專用接收器來高效竊取數(shù)據(jù)。這意味著任何配備適當(dāng)工具的攻擊者都可以從停車場或其它建筑內(nèi)以無線方式隔著墻壁拿到數(shù)據(jù)。

禁止所有類型的手機(jī)進(jìn)入敏感區(qū)域，可以避免第一種攻擊，然而要防御30米外的接收器就需要?jiǎng)有┬乃剂耍究梢赃x擇在墻內(nèi)安裝隔離層，或者讓敏感區(qū)域與墻壁之間隔開一定的距離。

研究團(tuán)隊(duì)包括如下成員：首席研究員莫迪凱·古里（Mordechai Guri），其他貢獻(xiàn)者有阿薩夫·卡切隆（Assaf Kachlon）、奧弗·哈桑（Ofer Hasson）、加比·凱德瑪（Gabi Kedma）、意第緒·米爾斯基（Yisroel Mirsky）和艾洛維斯（Elovici）。莫迪凱·古里會(huì)在下個(gè)月華盛頓特區(qū)舉行的UNIX協(xié)會(huì)安全專題討論會(huì)（Usenix Security Symposium）上發(fā)表他們的研究結(jié)果。他們的研究論文已經(jīng)在UNIX用戶協(xié)會(huì)網(wǎng)站上發(fā)布，不過目前只有網(wǎng)站會(huì)員才能訪問。網(wǎng)上也已經(jīng)出現(xiàn)了一段演示視頻。

通過電磁輻射（EMR，Electromagnetic Emissions）泄露來竊取數(shù)據(jù)并不是什么新鮮事。1972年NSA發(fā)布的一篇文章將這種其稱為TEMPEST攻擊，并詳細(xì)論述了其情況。大約15年前，也有兩位研究人員撰文指出，可以通過執(zhí)行特定的指令或安裝特定程序，控制臺(tái)式計(jì)算機(jī)泄露的電磁輻射。

基于前人的研究，這組以色列的研究人員開發(fā)出了被稱為GSMem的惡意軟件。該軟件會(huì)強(qiáng)制計(jì)算機(jī)的內(nèi)存總線成為天線，通過蜂窩頻率將數(shù)據(jù)無線傳輸?shù)绞謾C(jī)上。GSMem的足跡很小，運(yùn)行時(shí)在內(nèi)存中只占用4kb，使得它非常難以檢測。該軟件中嵌入了一系列簡單的CPU指令，并不需要和系統(tǒng)API交互，這使得它能夠躲過那些監(jiān)視惡意API調(diào)用的安全掃描器。

研究者們同時(shí)開發(fā)了一個(gè)被稱為ReceiverHandler的Rootkit，它會(huì)被嵌入在手機(jī)的固件基帶中。通過物理接觸或者阻斷技術(shù)（Interdiction Methods，從目標(biāo)公司的采購供應(yīng)鏈中下手，提前植入惡意軟件），可以將GSMem惡意軟件安裝在目標(biāo)計(jì)算機(jī)上。Rootkit可以通過社會(huì)工程攻擊、惡意App或者直接物理接觸目標(biāo)電話來安裝。

真實(shí)原理

當(dāng)電腦上的數(shù)據(jù)在CPU和內(nèi)存之間傳輸時(shí)，不可避免地會(huì)有無線電波泄露。通常而言，這些無線電波的強(qiáng)度還不足以將信息傳輸給手機(jī)，但研究者們發(fā)現(xiàn)，計(jì)算機(jī)上的多通道內(nèi)存總線可以生成持續(xù)的數(shù)據(jù)流，提升并激勵(lì)原信號(hào)，向接收器傳輸二進(jìn)制信息。

多通道內(nèi)存配置可以讓數(shù)據(jù)同時(shí)通過兩到四條數(shù)據(jù)通道進(jìn)行傳輸。當(dāng)所有這些通道同時(shí)投入使用時(shí)，數(shù)據(jù)交換的無線電波可以增強(qiáng)0.1到0.15dB。

GSMem會(huì)利用這個(gè)過程，使所有數(shù)據(jù)同時(shí)通過所有通道，以產(chǎn)生足夠的信號(hào)強(qiáng)度。但這種信號(hào)加強(qiáng)只對傳輸二進(jìn)制1時(shí)起效，對于二進(jìn)制0，GSMem會(huì)允許計(jì)算機(jī)以正常的信號(hào)強(qiáng)度進(jìn)行傳輸。信號(hào)中的強(qiáng)度波動(dòng)可以讓手機(jī)上的接收器分辨出被傳輸?shù)木烤故?還是1。

二進(jìn)制0即是電腦以正常強(qiáng)度發(fā)送電磁波的狀態(tài)，信號(hào)強(qiáng)度明顯高出正常狀態(tài)的則代表二進(jìn)制1。

接收器會(huì)識(shí)別傳輸?shù)男盘?hào)，并將其轉(zhuǎn)換成二進(jìn)制0和1，最終轉(zhuǎn)換成人類可讀的數(shù)據(jù)，比如密碼或加密密鑰。接收器會(huì)存儲(chǔ)收到的數(shù)據(jù)，之后將它們通過蜂窩數(shù)據(jù)、短信或WiFi方式發(fā)送出去。

接收器知道消息將在何時(shí)被發(fā)送，因?yàn)閭鬏敱环纸獬闪诵蛄袛?shù)據(jù)中的幀，每幀由12個(gè)比特構(gòu)成，包括報(bào)頭的序列“1010”。當(dāng)接收器收到報(bào)頭時(shí)，它就會(huì)開始注意被發(fā)送消息中的振幅，并作出一些調(diào)整，和目標(biāo)信號(hào)強(qiáng)度同步，然后繼續(xù)將泄出的數(shù)據(jù)轉(zhuǎn)化成二進(jìn)制形式。研究人員表示，研究中最困難的部分就是設(shè)計(jì)解碼蜂窩數(shù)據(jù)信號(hào)的部分。

在測試中，研究人員使用了一臺(tái)九年機(jī)齡的摩托羅拉C123，搭載德州儀器公司制造的卡里普索（Calypso）基帶芯片。這臺(tái)手機(jī)支持2G網(wǎng)絡(luò)通訊，但沒有GPRS、WiFi和蜂窩網(wǎng)絡(luò)功能。研究人員每秒都能向這臺(tái)手機(jī)傳輸1到2個(gè)比特，這已經(jīng)足夠從工作站上竊取256位密鑰了。

他們在三臺(tái)工作站上進(jìn)行了測試，目標(biāo)操作系統(tǒng)分別是微軟Windows、Linux和Ubuntu。為了模擬實(shí)際環(huán)境中可能存在大量電磁噪音的環(huán)境，實(shí)驗(yàn)都是在周邊有運(yùn)行著的電腦的狀態(tài)下進(jìn)行的，而接收器必須盡力找到需要解碼的信號(hào)。

盡管研究人員測試的目標(biāo)是驗(yàn)證非智能機(jī)是否也能被用來竊取數(shù)據(jù)，但使用智能手機(jī)預(yù)計(jì)將獲得更好的結(jié)果，因?yàn)橹悄苁謾C(jī)接收無線電信號(hào)的能力更強(qiáng)。研究人員準(zhǔn)備在未來的研究中測試使用智能手機(jī)時(shí)的效果。

不過根據(jù)測試結(jié)果，特制接收器的表現(xiàn)比智能手機(jī)還要好。通過30米外的接收器，研究人員能夠?qū)崿F(xiàn)每秒100至1000比特的傳輸速率。他們使用了GNU-Radio軟件，這是一個(gè)軟件定義的無線電套件，還用到了一臺(tái)Ettus Research公司制造的通用軟件無線電外圍設(shè)備，型號(hào)B210。

盡管這些攻擊能竊取的數(shù)據(jù)總量很有限，但僅僅是少量比特的數(shù)據(jù)也可以產(chǎn)生很大作用。除了竊取密碼之外，攻擊者可以使用這種方式偷到敏感設(shè)備的GPS坐標(biāo)，并確定它的位置。舉例而言，攻擊目標(biāo)可能是隱蔽核設(shè)施中的電腦。另外，也可以盜取用于加密通訊的RSA私鑰。

本古里安大學(xué)網(wǎng)絡(luò)安全研究中心的CTO杜杜·曼朗（Dudu Mimran）表示，“在這種場景里，你不會(huì)泄露巨量的數(shù)據(jù)，但當(dāng)今，保護(hù)敏感數(shù)據(jù)的密鑰通常體積并不大。因此如果你獲得了RSA私鑰，就可以突破很多防御。”

責(zé)任編輯：大云網(wǎng)

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊