但以色列的研究人员已经开发了一种新方法,可以从配备了上述所有防护手段的设备中窃取机密。该方法中只需要GSM网络、电磁波和一部具备基本功能的低端非智能机。尤瓦尔•伊洛维奇(YuvalElovici)是位于以色列内盖夫沙漠的本古里安大学网络安全研究中心主管,他表示,这是物理隔离系统入侵领域的一次突破,安全防务公司和其它安全主体应当提起注意,尽快更新自家的安全手册,禁止员工和访客携带能够接收射频信号的设备。 |
|
要实现这种攻击,需要首先在目标电脑和用到的手机上都安装恶意软件,在此之后则不需要额外操作,利用两边设备的自带功能即可完成攻击。从原理上来看,计算机在正常运行时会同时发出电磁辐射,而手机从本质上来讲是对这类信号“敏感的接收器”。将两边的因素结合在一起,不难理解黑客们会想要通过这种隐蔽信道来窃取数据。 |
|
这项研究建立在去年成果的基础上。去年,本古里安大学的研究小组研究了通过智能手机从物理隔离设备上窃取数据的方法。但去年的研究内容是通过智能手机上的FM无线电功能来拾取电脑显卡发出的无线电波,和今年略有不同。 |
|
今年,研究人员采取了另外一种方式传输数据,只需要非智能机即可实现。利用这种方法,可以渗透进那些限制智能手机进入的环境:由于非智能机只具有通话和短信功能,人们不认为它们能够成为间谍的监听设备。非智能机往往被允许带入一些敏感环境,而智能手机则不行。一份公司生产部门行动白皮书显示,英特尔生产部门的员工只能使用“公司配备的、只带有通话和短信功能的手机”,这些手机没有摄像头、视频播放以及WiFi功能。但以色列的这项最新研究表明,即使是英特尔公司使用的那些只具有基本功能的手机,也可能成为公司的威胁。 |
|
研究人员的论文中提到,“不像领域内最近发表的一些其它成果,这种入侵方式中所使用到的设备的确是现实环境中正在使用的:电脑/服务器、非智能机”。 |
|
尽管这种攻击只能提取一小部分数据,传输距离也很短,也足以在一两分钟内拿到密码甚至加密密钥了,具体耗时取决于密码的长度。但攻击者实际上不需要电话也能提取数据。研究者们发现,他们也可以通过一个安装在30米外的专用接收器来高效窃取数据。这意味着任何配备适当工具的攻击者都可以从停车场或其它建筑内以无线方式隔着墙壁拿到数据。 |
|
禁止所有类型的手机进入敏感区域,可以避免第一种攻击,然而要防御30米外的接收器就需要动些心思了,公司可以选择在墙内安装隔离层,或者让敏感区域与墙壁之间隔开一定的距离。 |
|
研究团队包括如下成员:首席研究员莫迪凯·古里(MordechaiGuri),其他贡献者有阿萨夫·卡切隆(AssafKachlon)、奥弗·哈桑(OferHasson)、加比·凯德玛(GabiKedma)、意第绪·米尔斯基(YisroelMirsky)和艾洛维斯(Elovici)。莫迪凯·古里会在下个月华盛顿特区举行的UNIX协会安全专题讨论会(UsenixSecuritySymposium)上发表他们的研究结果。他们的研究论文已经在UNIX用户协会网站上发布,不过目前只有网站会员才能访问。网上也已经出现了一段演示视频。 |
|
通过电磁辐射(EMR,ElectromagneticEmissions)泄露来窃取数据并不是什么新鲜事。1972年NSA发布的一篇文章将这种其称为TEMPEST攻击,并详细论述了其情况。大约15年前,也有两位研究人员撰文指出,可以通过执行特定的指令或安装特定程序,控制台式计算机泄露的电磁辐射。 |
|
基于前人的研究,这组以色列的研究人员开发出了被称为GSMem的恶意软件。该软件会强制计算机的内存总线成为天线,通过蜂窝频率将数据无线传输到手机上。GSMem的足迹很小,运行时在内存中只占用4kb,使得它非常难以检测。该软件中嵌入了一系列简单的CPU指令,并不需要和系统API交互,这使得它能够躲过那些监视恶意API调用的安全扫描器。 |
|
研究者们同时开发了一个被称为ReceiverHandler的Rootkit,它会被嵌入在手机的固件基带中。通过物理接触或者阻断技术(InterdictionMethods,从目标公司的采购供应链中下手,提前植入恶意软件),可以将GSMem恶意软件安装在目标计算机上。Rootkit可以通过社会工程攻击、恶意App或者直接物理接触目标电话来安装。 |
真实原理 |
|
当电脑上的数据在CPU和内存之间传输时,不可避免地会有无线电波泄露。通常而言,这些无线电波的强度还不足以将信息传输给手机,但研究者们发现,计算机上的多通道内存总线可以生成持续的数据流,提升并激励原信号,向接收器传输二进制信息。 |
|
多通道内存配置可以让数据同时通过两到四条数据通道进行传输。当所有这些通道同时投入使用时,数据交换的无线电波可以增强0.1到0.15dB。 |
|
GSMem会利用这个过程,使所有数据同时通过所有通道,以产生足够的信号强度。但这种信号加强只对传输二进制1时起效,对于二进制0,GSMem会允许计算机以正常的信号强度进行传输。信号中的强度波动可以让手机上的接收器分辨出被传输的究竟是0还是1。 |
|
二进制0即是电脑以正常强度发送电磁波的状态,信号强度明显高出正常状态的则代表二进制1。 |
|
接收器会识别传输的信号,并将其转换成二进制0和1,最终转换成人类可读的数据,比如密码或加密密钥。接收器会存储收到的数据,之后将它们通过蜂窝数据、短信或WiFi方式发送出去。 |
|
接收器知道消息将在何时被发送,因为传输被分解成了序列数据中的帧,每帧由12个比特构成,包括报头的序列“1010”。当接收器收到报头时,它就会开始注意被发送消息中的振幅,并作出一些调整,和目标信号强度同步,然后继续将泄出的数据转化成二进制形式。研究人员表示,研究中最困难的部分就是设计解码蜂窝数据信号的部分。 |
|
在测试中,研究人员使用了一台九年机龄的摩托罗拉C123,搭载德州仪器公司制造的卡里普索(Calypso)基带芯片。这台手机支持2G网络通讯,但没有GPRS、WiFi和蜂窝网络功能。研究人员每秒都能向这台手机传输1到2个比特,这已经足够从工作站上窃取256位密钥了。 |
|
他们在三台工作站上进行了测试,目标操作系统分别是微软Windows、Linux和Ubuntu。为了模拟实际环境中可能存在大量电磁噪音的环境,实验都是在周边有运行着的电脑的状态下进行的,而接收器必须尽力找到需要解码的信号。 |
|
尽管研究人员测试的目标是验证非智能机是否也能被用来窃取数据,但使用智能手机预计将获得更好的结果,因为智能手机接收无线电信号的能力更强。研究人员准备在未来的研究中测试使用智能手机时的效果。 |
|
不过根据测试结果,特制接收器的表现比智能手机还要好。通过30米外的接收器,研究人员能够实现每秒100至1000比特的传输速率。他们使用了GNU-Radio软件,这是一个软件定义的无线电套件,还用到了一台EttusResearch公司制造的通用软件无线电外围设备,型号B210。 |
|
尽管这些攻击能窃取的数据总量很有限,但仅仅是少量比特的数据也可以产生很大作用。除了窃取密码之外,攻击者可以使用这种方式偷到敏感设备的GPS坐标,并确定它的位置。举例而言,攻击目标可能是隐蔽核设施中的电脑。另外,也可以盗取用于加密通讯的RSA私钥。 |
|
本古里安大学网络安全研究中心的CTO杜杜·曼朗(DuduMimran)表示,“在这种场景里,你不会泄露巨量的数据,但当今,保护敏感数据的密钥通常体积并不大。因此如果你获得了RSA私钥,就可以突破很多防御。” |