Тепловые атаки на Air-Gapped
Добрый день мои Чеширские котики🐈⬛
Сегодня мы поговорим об тепловых атаках на Air-Gapped
Сеть с Air-Gapped — это компьютерная сеть, в которой принимаются меры безопасности для поддержания физического и логического отделение от других, менее защищенных сетей.
Этот термин может иногда относиться к интерфейсу между двумя системами или сетями, в которых передача данных осуществляется вручную(например, владелиц копирует данные из одной системы в флешку, а затем переходит к другой системе и подключает к ней флешку).
Сети с воздушным зазором часто используется в случаях, когда информация, хранящаяся или генерируемая сетью очень чувствительна или подвержена риску утечки данных.
Возможно вы думали, что физическое разделение Air-Gapped компьютеров обеспечивает надежный уровень безопасности, например что если два соседних компьютера будут скомпрометированы, скрытый обмен данными между ними будет бы невозможен...
Но из этого поста и статье ниже вы узнаете о методе когда тепло от одного компьютера излучается и обнаруживается другим компьютером, и может быть открыт канал, по которому можно передать ключи, пароли и даже вредоносных программ. К злоумышленнику или от него.
Мост, который они назвали BitWhisper, может обеспечить связь между двумя машинами с воздушным зазором.
Чтобы соединить два отдельных компьютера, канал полагается на тепловой пинг, повторяющимся слиянием двух сетей через близость и тепло.
Это помогает создать мост между общедоступной сетью и внутренней сетью. Как только воздушное пространство будет преодолено, злоумышленники могут сделать несколько вещей, в том числе использовать канал для распространения ключей, запустить червя, отправить команду в систему управления или распространить вредоносное ПО в другие части сети.
Вообще это не самый быстрый способ передачи информации — скорость изменения теплового сигнала между компьютерами может быть медленной — очень медленной — часто для передачи всего одного сигнала требуется несколько минут.
Самое большее, BitWhisper может обрабатывать восемь сигналов в час.
Как это работает?
BitWhisper устанавливает скрытый канал, отправляя тепло от одного ПК к другому. При этом одно из устройств должно быть контролируемо злоумышленниками и регулировать режимы нагрева. Двоичные данные преобразуются в тепловые сигналы и таким образом передаются.
В свою очередь соседний ПК использует встроенные термодатчики для измерения изменений окружающей среды.
Затем эти изменения отбираются, обрабатываются и демодулируются в бинарные данные.
BitWhisper предлагает два уникальные характеристики:
1) Канал поддерживает двунаправленную (полудуплексную) связь, так как оба ПК могут выступать в качестве передатчика (вырабатывая тепло) или приемника (контролируя температура)
2) Утановление канала возможно с помощью готовых смежных настольных ПК и не требует специального оборудование или вспомогательные компоненты. Злоумышленник может использовать BitWhisper для прямого управления.
BitWhisper, как универсальный скрытый канал, может использоваться для различных целей.
Однако мы исследуем его использование в качестве метода преодоления воздушного зазора между физически разделенными сетями.
Модель атаки состоит из нескольких фаз
На первом этапе злоумышленник заражает сети, часть атаки, что может быть достигнуто с помощью вредоносных писем в сочетании с социальной инженерией и другими подобными методами.
На втором, значительно более сложном этапе злоумышленник продолжает заражать узел внутренней сети. Это можно сделать, атаковав цепочку поставок, или установка зараженного USB-накопителя, использование вредоносного инсайдера или некоторая эквивалентная тактика.
На третим закрепившись в обеих сетях, атакующий может преодолеть Air-Gapped между сетями, чтобы тайно эксфильтровать очень секретную часть информации (например, пароли или секретные ключи).
Альтернативно, злоумышленник может вызвать атаку червя внутри изолированной сети или отправить вредоносную команду в изолированную промышленную систему управления. После заражения сетей вредоносная программа распространяется по обеим сетям и ищет в окружении дополнительные компьютеры в непосредственной близости.
Близость определяется путем периодической отправки "тепловых эхо-запросов" по воздуху.
Как только попытка соединения прошла успешно, логическая связь между общедоступной сетью и внутренней сеть установлена.
На этом этапе злоумышленник может общаться с ранее изолированной сетью как захочет, выдавая команды и получение ответов.
Технические подробности
Как и многие электрические системы, ПК выделяют тепло.
Закон сохранения энергии утверждает, что энергия сохраняется в течение времени. Избыточная мощность рассеивается в виде тепла, прежде всего в физическом процессе, называемом джоулевым нагревом.
Он происходит при прохождении электрического тока через проводник выделяет тепло. Вырабатываемое тепло пропорционально току и напряжению системы.
Сложные электронные системы, такие как ЦП современного ПК требует различной мощности(ток и напряжение) пропорционально нагрузке на систему.
Эта рабочая нагрузка напрямую влияет на количество тепла, выделяемого системой. Повышенная нагрузка на ЦП в современной системе вызывает повышенное энергопотребление по всем параметрам, поэтому также повышение температуры.
В дополнение к ЦП современные компьютеры также содержат другие компоненты, которые выделяют значительное количество тепла.
Электронные системы, такие как компьютеры и смартфоны, включают несколько тепловых датчиков для контроля их различных компонентов и температуры окружающей среды, включая GPU и другие компоненты материнской платы, такие как VRM и контроллеры ввода-вывода.
Как другие источники тепла в компьютере включают механические системы, такие как жесткий диск или оптический привод.
Термодатчики позволяют системе, защитить себя от повреждений или снижения производительности.
Некоторые компоненты компьютера могут стать временно непригодными для использования или необратимо поврежденным, если их не охладить должным образом.
За стабильную непрерывную работу ПК отвечают термодатчики, эти компоненты должны получают достаточное охлаждение, чтобы противостоять их тепловым выбросам.
Существует два метода охлаждения: пассивный и активный.
Пассивные методы охлаждают компонент, пропуская тепло рассеиваться в воздухе самостоятельно или с помощью теплоотвода.
Для большинства чипов, используемых в ПК, используется именно этот метод охлаждения.
Активные методы пытаются ускорить процесс конвекции, включая вентилятор или, возможно, другие механизмы.
Которые используют жидкие или газообразные теплоносители. Самый распространенный активный метод охлаждения, применяемый в ПК, заключается в соединении вентилятора с радиатором, потому что это недорого и эффективно.
Мы выделяем определенное количество тепла в которое преобразовали в качестве нагрузки на ЦП. И так передаем информацию.
Тепловые свойства ПК важны, поскольку они напрямую влияют на качество сигнала.
В ходе исследования выделили три типа датчиков, на которые существенное влияние оказывает окружающая среды
1) Датчик внутренней температуры ЦП
2) Датчики температуры, такие как в ЦП и HD
3) Скорость вращения вентилятора в об/ми, рабочая нагрузка ПК напрямую влияет на температуру.
Скрытый канал использует тепловое излучение, испускаемое одним компьютером, работающим в допустимых тепловых границах, для доставки информации на соседний компьютер, оснащенный стандартными тепловыми датчиками.
В то время как физические свойства канала могут быть асимметричными, канал связи является симметричным, поскольку каждая сторона взаимодействует с другой по одному и тому же протоколу.
Для простоты, мы можем обратиться к общению компьютеров в качестве отправителя и получателя, хотя канал является двунаправленным.
Имея два соседних компьютера A и B, мы обозначаем S задержку распространения тепла (от A к B), а L как охлаждение. Передатчику и приемнику нужны эти параметры для успешной передачи данных по физическому каналу.
Для оптимальной пропускной способности лучшим подходом будет основываться на обнаружении параметров L1 во время выполнения.
Лучшим подходом будет основываться на обнаружении параметров L1 во время выполнения. За взаимодействующие сторон и проводят рукопожатие протокола до любой фактической передачи данных.
Этот начальный процесс также служит для определения наличия приемника в радиусе действия.
Для представленных алгоритмов, обе стороны используют функцию округления(например, округлить рассчитанное время до ближайшей минуты).
Основная цель протокола квитирования состоит в том, чтобы передать и согласовать параметры, используемые для протокола связи, задержки распространения тепла и времени охлаждения.
После фазы рукопожатия каждая сторона будет знать свои задержки и времени охлаждения.
Из-за статичного характера расположения и компоновки компьютеров рукопожатие может выполняться во время первоначальной настройки связи, а затем выполняться время от времени (например, один раз в неделю).
В алгоритме квитирования мы произвольно называем инициатора квитирования как A, а другую сторону (получателя) как B.
Алгоритмы кодирование данных вы можете почитать в статье ниже. Как вы видите Air-Gapped возможно взломать даже с помощью тепла.
А какие защитные меры противодействия таким угрозам?
Ну как не очевидно это регулирование росение между устройствами или строгий мониторинг.
В качестве контрмеры против таких атак, как BitWhisper, следует использовать подход "зон" для определения физических расстояний, требуемых для компонентов, потенциально излучающих тепло и чувствительных к теплу, подключенных к разным сетям.
В некоторых случаях, в основном из-за ограниченности пространства, поддерживать минимальные расстояния между компьютерами нецелесообразно, и, очевидно, управление физическими расстояниями между различными сетями затруднено с точки зрения пространства и расходов на администрирование.
Одним из решений может быть размещение тепловых датчиков между компьютерами, содержащими конфиденциальную информацию, и всеми остальными компьютерами для обнаружения аномальных тепловых излучений или использования существующих решений для мониторинга для обнаружения попыток тепловой связи.
Эти системы мониторинга, обычно используемые для серверов, уже отслеживают использование ЦП и температурные датчики для поддержания доступности.
Журналы и оповещения из этих систем мониторинга могут использоваться для обнаружения попыток связи.
А на этом все, спасибо за прочтение❤️
Для более полного ознакомление читайте статью ниже.
А так же вот видео демонстрация атаки тык
И помните даже если кроличья нора излинована Алиса всегда может в нее зайти🐇🗝