Разработан новый метод атаки компьютеров, который позволяет красть информацию при помощи звука вентиляторов системного блока

Вентилятор центрального процессора


На страницах нашего сайта мы уже не один раз знакомили наших читателей с результатами деятельности специалистов Исследовательского центра кибербезопасности (Cyber Security Research Center) университета Бен-Гуриона (Ben-Gurion University), Израиль. Этими специалистами уже были разработаны три вида атак, позволяющих извлечь данные из компьютеров, защищенных так называемым "воздушным барьером". В этих атаках использовались излучаемые компьютером электромагнитные волны, радиоволны GSM-диапазона и даже тепло, выделяющееся внутри системного блока атакуемого компьютера. А недавно эта же самая группа, возглавляемая Мордекаи Гурии (Mordechai Guri), нашла еще один способ красть информацию, на этот раз при помощи звука вентиляторов, которые служат для охлаждения процессора и системного блока компьютера.

Компьютеры, защищенные "воздушным барьером", представляют собой обособленные компьютеры или сети, которые не подключены к Интернету напрямую или не подключены к другим компьютерам или сетям, имеющим подключение к Интернету. Такие компьютеры считаются максимально защищенными от удаленного взлома, они используются для хранения и обработки секретной и критичной информации. В некоторых, особо важных случаях из таких компьютеров удаляются даже встроенные динамики и микрофоны для предотвращения кражи информации при помощи акустических волн.

Любой компьютер имеет минимум два вентилятора, один для охлаждения центрального процессора, второй - для охлаждения блока питания. В некоторых компьютерах вентиляторы могут стоять на видеоплате и на задней части шасси системного блока. Во время своей работы эти вентиляторы издают звук, частота которого зависит от частоты их вращения, которую можно регулировать программным путем. Этим и пользуется разработанная израильтянами программа-зловред Fansmitter, которая кодирует частотой 1000 оборотов в минут логический 0, а логической 1 соответствует частота вращения вентилятора в 1600 оборотов в минуту.

В качестве устройства-приемника может выступать обычный смартфон, использующий для приема акустических сигналов свой микрофон и снабженный специализированным приложением. Получаемые с микрофона сигналы проходят через сложную математическую обработку, в том числе и преобразования Фурье, которая позволяет выделить звук каждого отдельного вентилятора. И эта система работает достаточно устойчиво даже тогда, когда в помещении играет негромкая музыка.

Естественно, такая технология позволяет украсть данные весьма небольшого объема, но этого объема вполне достаточно для передачи ключей шифрования, имен пользователей, паролей, истории нажатия клавиш и т.п. На расстоянии около 4 метров от атакуемого компьютера система обеспечивает скорость передачи на уровне 15-20 бит в секунду (чуть больше 1200 бит в час), но исследователи сейчас работают над тем, чтобы увеличить эту скорость в несколько раз.

"Мы можем задействовать сразу два или больше вентиляторов одного компьютера, и таким экстенсивным способом мы сразу можем поднять скорость передачи данных в два-три раза" - рассказывает Мордекаи Гурии, - "А сейчас мы работаем над рядом других интенсивных методов, которые позволят нам выжать еще большую скорость с каждого из вентиляторов компьютера".





Ключевые слова:
Компьютер, Защита, Воздушный, Барьер, Взлом, Информация, Передача, Звук, Вентилятор, Частота, Вращение, Fansmitter

Первоисточник

Другие новости по теме:
  • Индикатор активности жесткого диска - еще одно из уязвимых мест безопасност ...
  • Сотовые телефоны могут использоваться для взлома и хищения данных с компьют ...
  • Разработана технология хищения данных с компьютера при помощи тепла, выделя ...
  • Радиосигналы FM-диапазона могут использоваться для дистанционного взлома ко ...
  • Мобильный компьютер будущего не будет нуждаться в клавиатуре, дисплее и про ...




  • 30 июня 2016 07:04
    #1 Написал: vladimirvnr

    Публикаций: 0
    Комментариев: 0
    Что-то ерунда какая-то. Как можно украсть информацию там, где ее нет. На вентиляторы же не передается никакая информация, а скорость вращения зависит от температуры... Все равно, что по звуку двигателя определять давление в шинах...
        
    30 июня 2016 08:33
    #2 Написал: Хиус

    Публикаций: 0
    Комментариев: 0
    Так сначала их Fansmitter должен как-то попасть на компьютер, чтобы можно было передавать информацию через вращение вентиляторов.
        
    30 июня 2016 10:16
    #3 Написал: Pulsar

    Публикаций: 0
    Комментариев: 292
    Ну, ну... На защищённой территории, где с компа даже динамики сняты, можно спокойно расхаживать постороннему человеку с вредоносным ПО и планшетом, войти в комп (пароля на нём нет, т.к. всё "секретно") и запустить программу от имени администратора (ну зачем нужно ограничение прав пользователя на секретной территории?) wink
        
    30 июня 2016 11:28
    #4 Написал: Молочный

    Публикаций: 0
    Комментариев: 0
    Цитата: vladimirvnr
    vladimirvnr

    да это высер, а журналюги понесли не думая, тут описывается ситуация когда на компе уже стоит шпион их шпионская программа и она управляя вентилятором может передавать информацию. если бы журналюги хоть немножко соображали они бы догадались спросить а как данные "хакеры" собираются установить программу на взламываемый комп. А потом спросил бы если вы можете установить такую программу нахрен нужно таким маразмом страдать и не прощели сразу переписать то что нужно?
        
    30 июня 2016 11:32
    #5 Написал: AsusF74tr

    Публикаций: 0
    Комментариев: 0
    Сразу видно, что комментаторы в информационной безопасности разбираются чуть меньше, чем никак.
        
    30 июня 2016 12:30
    #6 Написал: nikat

    Публикаций: 0
    Комментариев: 0
    AsusF74tr,
    Цитата: AsusF74tr
    Сразу видно, что комментаторы в информационной безопасности разбираются чуть меньше, чем никак.

    Ну куда уж нам, убогим, до вас, гуру... winked
        
    30 июня 2016 14:17
    #7 Написал: dkadance

    Публикаций: 0
    Комментариев: 0
    Шпионский сценарий:
    Fansmitter незаметно встраивается в партию кулеров для сборки серверного оборудования конкретным клиентам (жертва шпионажа, например, северокорейская лаборатория ядерных исследований). Далее, в мобильник сотрудника лаборатории тайно встраивается приемник. Далее - хак!
        
    30 июня 2016 15:56
    #8 Написал: ed

    Публикаций: 0
    Комментариев: 12
    Ничто не мешает подключить вентилятор процессора к неуправляемому разъему питания (можно и к 12 В через переходник) и избежать этой проблемы.
    Управление скоростью вращения вентилятора на обычном блоке питания - это что-то новое. Если и есть такие блоки, то их единицы и там есть соответстующий разъем съёма параметров работы БП и управления.
    Другое дело, когда компания-потребитель заказывает оборудование а у компании-производителя (или "заинтересованных посредников" при пересылке) есть возможность его "оттюниговать". Тут можно и спец. блок питания поставить, и вентиляторы "как надо" подключить, BIOS "подправить" и, может быть, приложить "улучшенные" драйвера к оборудованию (ведь их пользователь всё равно должен установить). А если "модернизировать" Intel vPro, то возможностей ещё больше.
        
    30 июня 2016 17:41
    #9 Написал: goyza

    Публикаций: 0
    Комментариев: 0
    Цитата: dkadance
    Шпионский сценарий:
    Fansmitter незаметно встраивается в партию кулеров для сборки серверного оборудования конкретным клиентам (жертва шпионажа, например, северокорейская лаборатория ядерных исследований). Далее, в мобильник сотрудника лаборатории тайно встраивается приемник. Далее - хак!

    Ну в целом да, решается задача - сливать инфу с компа, который в принципе не имеет внешних интерфейсов (только Fansmitter это троян, не совсем понятно как предполагается инфицировать такой защищенный объект и скорее всего речь идет о рабочих станциях)
        
    30 июня 2016 18:23
    #10 Написал: cmp167

    Публикаций: 0
    Комментариев: 163
    Fansmitter незаметно встраивается в партию кулеров

    Жесть, а в коврике мыши хранит свою копию.

    А в 80-90 дисководами музыку играли, а еще можно грузить проц и снимать инфу на щитке электрораспределения, а нормальный админ спалит нездоровую активность через пару часов.
        
    30 июня 2016 18:56
    #11 Написал: ed

    Публикаций: 0
    Комментариев: 12
    не совсем понятно как предполагается инфицировать такой защищенный объект

    goyza, например, через модифицированный драйвер "от производителя" для этого железа.
        
    30 июня 2016 22:06
    #12 Написал: Philosoph

    Публикаций: 0
    Комментариев: 63
    1. Проблема установки стороннего софта на ПК!
    2. Проблема установки стороннего софта на смартфон!
    3. В секретных зонах пользуются обычно устройствами, которые не покидают периметр этой самой зоны и так же являются изолированными!
    4. Все сотрудники проходят постоянные проверки!

    Поэтому возможность реализации схемы использования крайне мала в объектах с допуском для работы с секретными/совершенно секретными файлами. Не отрицаю возможность использования данного метода в какой-то корпоративной сети обладающей какой-то уникальной информацией и которая не особо печётся о безопасности, потому что п1-2 это основное что нужно сделать и сценарий фильма "Робот Чаппи" не прокатит=)
        
    1 июля 2016 14:01
    #13 Написал: Джон

    Публикаций: 0
    Комментариев: 475
    Кто внимательно прочитал заметку, должен был понять, что теоретически считывание и распознание таким способом информации возможно, но лишь при условии изготовления и установки специализированных вентиляторов. Зачем это нужно человеку (группе людей), хранящему секретную информацию?
        
    2 июля 2016 03:43
    #14 Написал: ed

    Публикаций: 0
    Комментариев: 12
    Джон:
    теоретически считывание и распознание таким способом информации возможно, но лишь при условии изготовления и установки специализированных вентиляторов.

    Вентиляторы подойдут самые обычные, как с PWM (ШИМ) управлением скоростью вращения, так и управляемые скоростью вращения через изменение напряжения питания на них. Только для этого их надо подключить к стандартным обычным разъёмам для вентиляторов (что, вроде, логично, но только не там, где нужна секретность). Но, если их подключить просто к блоку питания через переходники, то управлять скоростью их вращения не получится.
    На современных материнских платах частота вращения подключенных к ним вентиляторов может регулироваться программно: либо непосредственно через BIOS (для весьма старых материнских плат), либо с помощью Intel Management Engine (который тоже может регулироваться как через BIOS – с виду ничего не меняется, так и программно напрямую).
    IME всегда включён, если подано питание на материнскую плату и фактически является Linux-подобной ОС, работающей непосредственно на процессоре чипсета (а там есть свой процессор) без задействования центрального процессора и возможности у него немалые, например: полный доступ ко всему содержимому оперативной памяти компьютера через внутренний DMA-контроллер, возможность мониторинга видеопотока, выводящегося на монитор (правда, только в случае использования встроенного графического ядра), мониторинг всего сетевого трафика – вырезание сетевых пакетов, предназначенных для него – таким образом, основная ОС на компьютере никогда эти пакеты не увидит.
    Скоростью вращения вентиляторов управляет тоже он, хотя, внешне это всё также можно сделать через BIOS (который теперь работает с IME). Если модифицировать такую скрытную (от пользователя системы) и привилегированную среду исполнения, то можно получить хороший компьютер-шпион, которому всё равно какая ОС установлена на нём, кокой у этой ОС софт и драйвера. Сама IME в первых версиях имела ARC и SPARC архитектуру своего процессора, теперь это такой же x86.
    Для изменения логики работы IME требуется перепрошить IME Firmware на что-то своё, но Intel неплохо защитила свой код, подписав его своими сертификатами. Так что вопрос стоит либо о доверии самой Intel (оставила ли она для себя back door и спец. фичи), либо о возможности существования в коде Firmware скрытых уязвимостей, о которых широко не распространяются.
    Мне думается, что при наличии достаточного количества денег, времени, желания и возможностей посредники (не Intel) всё равно смогут взломать IME.
        
    4 июля 2016 14:41
    #15 Написал: Джон

    Публикаций: 0
    Комментариев: 475
    ed - Дело в том, что при наличии достаточного количества денег можно просто купить специалиста, обладающего той или иной информацией.
        
    4 июля 2016 20:27
    #16 Написал: bundzmm

    Публикаций: 0
    Комментариев: 486
    ed,
    про vPro верно, учитывая, что общаются эти системы на апаратном уровне в обход любой ОС
        

    Информация

    Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.