Исследователи из Университета Корё в Южной Корее опубликовали работу, в которой описали новый способ кражи данных из компьютера, максимально защищенного от этой угрозы. Например, находящегося в изолированном помещении и за воздушным зазором (не подключенного ни к Интернету, ни к локальной сети). Подобные атаки — последнее средство в случае, если другие, более простые, реализовать невозможно.
В качестве скрытного канала эксфильтрации данных используется компьютерный динамик. Но не обычное подключаемое аудиоустройство, а древний рудимент самых первых персональных компьютеров: системный динамик, также известный как PC Speaker. Для совместимости он, как правило, до сих пор устанавливается на материнские платы и, как выяснилось, может использоваться для шпионской деятельности.
Необходимая предыстория
Про необычные способы кражи данных мы уже писали не раз. Например, здесь: про прослушивание смартфонов с помощью встроенного акселерометра. Или здесь: про кражу данных через паразитный радиосигнал, транслируемый процессором во время работы. По сравнению с этими методами, кража данных через динамик на материнской плате выглядит достаточно простой. Но чем проще реализовать атаку, тем выше вероятность успеха. Кроме того, для приема ценных данных не нужно специальное оборудование: достаточно поднести к атакуемому компьютеру смартфон.
Все исследования такого плана всегда начинаются с описания определенного сценария атаки. Представьте себе компьютер, содержащий секретную информацию и работающий в государственном учреждении или крупной компании. Данные на нем настолько конфиденциальные, что для дополнительной безопасности он не подключен к Интернету, а возможно, не имеет соединения и с внутренней локальной сетью. Тем не менее в таких сценариях всегда предполагается, что компьютер как-то удалось заразить вредоносной шпионской программой. Как именно — не является темой исследования. Предположим, что шпиону удалось протащить в охраняемое помещение флешку, подключить ее к компьютеру и установить программу. Или же компьютер был заражен при помощи атаки через цепочку поставок еще до того, как его привезли в организацию.
Вредоносная программа собрала секретные данные, и теперь надо их как-то вытащить. В сценарии корейских ученых шпион имеет возможность зайти в помещение с компьютером, пронеся с собой смартфон, на котором работает простое ПО для записи звука. Вредоносная программа с компьютера транслирует данные в виде сигналов на высокой частоте: большинство людей не смогут это услышать. Смартфон записывает звук, и дальнейший анализ записи позволяет реконструировать данные.
Важно понимать, что работы по эксфильтрации данных через динамики были и раньше. Например, в этой израильской работе 2018 года показан способ коммуникации между двумя компьютерами: один из них транслирует неслышимый ультразвуковой сигнал через динамики, другой принимает данные с помощью штатного микрофона. Но у этой теоретической атаки есть один минус. Представьте себе компьютер, управляющий ценным оборудованием. Никто не будет оснащать его динамиками для удобства оператора. Атака 2018 года возможна в случае, если защищенная информация хранится на ноутбуке.
Трудности совершения ультразвуковой кражи
Корейские ученые предлагают использовать не обычную компьютерную акустику, а тот самый системный динамик, PC Speaker. Давным-давно, в 1981 году в первом персональном компьютере IBM PC такой динамик был единственным, так сказать, музыкальным инструментом. Точнее, PC Speaker умел в основном издавать противный писк, хотя некоторые разработчики игр использовали его рудиментарные возможности для создания вполне себе достойного саундтрека. В современных ПК PC Speaker практически никогда не используется и нужен разве что для диагностики. Если компьютер не запускается, то по количеству и длине тонов, воспроизводимых через системный динамик, можно определить причину неполадки. Оригинальный PC Speaker 80-х был реализован в виде отдельного динамика, подключаемого к разъемам на материнской плате. На современных платах миниатюрный динамик обычно припаян к самой плате.
Исследователям из Кореи надо было показать надежный метод передачи данных через системный динамик, а главное — достаточно практичный метод приема этих данных. С передачей получилось относительно просто. «Вредоносная программа», запущенная на компьютере под управлением Ubuntu Linux, попеременно воспроизводила короткие сигналы на частоте 18 и 19 килогерц. Передача на частоте 18 килогерц принималась за «точку», на второй частоте — за «тире». Таким образом можно передавать информацию с помощью азбуки Морзе, используемой обычно при трансляции по радиоволнам. Если записать такую неслышимую для людей передачу данных на смартфон, получится что-то такое:
В спектрограмме показана передача одного слова — covert («скрытный»). Передача шести букв заняла примерно четыре секунды — это достаточно медленный способ эксфильтрации данных, но действенный для определенных типов информации. Например — паролей и ключей шифрования данных. Линии на частотах 18 и 19 килогерц — это как раз и есть сигнал с компьютерного динамика. По громкости они почти не отличаются от фонового шума в помещении, который зафиксирован в нижней части спектрограммы.
С помощью многочисленных экспериментов авторы работы выяснили оптимальные параметры передачи данных. Чтобы надежно принимать данные на расстоянии до полутора метров, скорость передачи не должна превышать 20 бит в секунду. Можно еще замедлить передачу и выиграть примерно полметра. Либо положить телефон в сантиметрах от системного блока — тогда передача данных может быть ускорена в два раза. Любые данные, кроме самых компактных, будут передаваться с такой скоростью часами, что делает атаку непрактичной.
Проблемы построения защищенных систем
Ультразвуковая передача данных — неплохо исследованная концепция, которая иногда используется и в безобидных потребительских целях. В защищенном окружении этот сторонний канал представляет угрозу. В качестве защиты от подобной атаки корейские исследователи предлагают удалять динамик с материнской платы. Но, как мы знаем из других исследований, когда ставки высоки и противник готов тратить время и ресурсы для достижения своей цели, все варианты эксфильтрации данных предусмотреть невозможно. Если удалить PC Speaker, кража все равно будет реальна, например через паразитное радиоизлучение от кабелей SATA, от процессора, от компьютерного монитора. Пусть и с использованием куда более сложных методов.
Максимальная изоляция компьютера, на котором хранятся секретные данные, необходима. Но гораздо практичнее вложиться в средства обнаружения вредоносной активности — напомним, все шпионские сценарии начинаются с установки вредоносного ПО. Исследование корейских ученых, тем не менее, расширяет наши представления о том, какие нестандартные каналы связи могут быть использованы для кражи данных.