Блуждая по просторам интернета, наткнулся на любопытные исследования специалистов по компьютерной безопасности из израильского университета. Они создали вредоносную программу (Malware), назначение которой – передача данных на расположенную в зоне прямой видимости камеру с находящегося в офф-лайне компьютера. Цель состояла в моделировании хакерской атаки и возможности трансляции данных с зараженного компьютера с использованием светодиода активности жесткого диска. Технология, на мой взгляд, несколько голливудская, но, тем не менее, интересная.
LED-it-GO. Использование световых сигналов для кражи данных
Авторы назвали свое исследование «LED-it-GO: Leaking (a lot of) Data from Air-Gapped Computers via the (small) Hard Drive LED». Техническая сторона заключается в использовании светодиода, отражающего активность накопителя, установленного в компьютер, в качестве источника данных, которые он передает своим миганием.
Он загорается при каждой операции чтения или записи, совершаемой накопителем. Таких светодиодов может быть несколько, например, по одному на каждый диск в сервере или сетевом хранилище. Десктопные компьютеры используют один общий источник светового сигнала на все накопители. Как правило, он расположен на лицевой панели, а у ноутбуков – на верхней панели рядом с клавиатурой или на передней грани.
Сигнал генерируется включением и выключением светодиода. Управляет им материнская плата, и не было найдено какого-либо способа непосредственного управления им. Поэтому, разработчикам пришлось управлять длительностью и частотой включения светодиода, обращаясь к диску для чтения или записи блоков нужной длины. Для того, чтобы не оставлять в системе каких-либо следов, использовалась только операция чтения.
Информация передавалась пакетами двух видов: постоянной длины и переменной. Каждый пакет предваряется 8-битным заголовком. В случае фиксированной длины пакета следовали 256 битов данных, заканчивающихся контрольной суммой. При переменной длине пакета между заголовком и собственно данными передавалась длина блока данных.
Пакеты фиксированной длины предпочтительнее при передачи небольшого количества данных, например, пароля, ключа шифрования и т. п. Пакеты с переменной длиной позволяют передавать целые файлы.
Результаты теста
Исследователи использовали разные виды камер и светодиоды разного цвета – красные, белые, синие. Максимальная скорость передачи, которую мог обеспечить светодиод своим свечением, составляла 4000 бит в секунду. При этом было выявлено, что светодиоды синего цвета обеспечивают наиболее сильный световой сигнал.
Для считывания сигналов светодиода использовались разные камеры: GoPro, зеркальные фотокамеры начального уровня, вебкамеры, смартфоны, очки Google Glass. Опытным путем было выяснено, что большинство этих камер могут обеспечивать распознавание сигналов со скоростью до 15 бит в секунду. При этом GoPro Hero5 позволяла принимать сигнал со скоростью до 120 бит в секунду.
В проведенном тесте считываемый сигнал с системного блока, установленного в помещении, считывался при помощи камеры, смонтированной на дроне, который через окно записывал генерируемую информацию. Результаты можно увидеть в ролике, представленном разработчиками.
LED-it-GO — атака, которую трудно распознать
Разработчики заявляют, что, т. к. индикатор активности диска мигает часто и довольно хаотично, добавление к нему дополнительных миганий вряд ли будет заметным. При этом во время передачи данных светодиод мигает так часто, что для человеческого глаза кажется, что он горит постоянно.
Сложность обнаружения такой атаки состоит в том, что в компьютере всегда мигает какой-либо светодиод, или даже несколько, и на это, как правило, никто не обращает никакого внимания. При скорости передачи до 4000 бит в секунду даже передача больших файлов, в принципе, становится возможной.
Цель – компьютер, не подключенный к сети интернет
Если компьютер подключен к всемирной сети, то гораздо проще использовать это подключение для кражи данных, нежели заморачиваться со светодиодами и камерами.
Другое дело компьютеры, хранящие важные данные и не имеющие такого подключения. Правда, тут возникают 2 проблемы:
• Обычно такие компьютеры устанавливаются в помещениях без окон, без размещения иных электронных устройств поблизости.
• Необходимо каким-то образом инфицировать такой компьютер вирусом (Malware). Сделать обычным способом (через вложенный в почтовое сообщение файл, скачанный файл и т. п.) не представляется возможным.
Если в помещении есть окна, то защититься от такого способа кражи информации можно, если заклеить или отключить светодиоды, установить систему мониторинга активности светодиодов, или сделать окна визуально непроницаемыми при взгляде снаружи в помещение, где установлены компьютеры. Также не следует использовать камеры видеонаблюдения, которые могут быть использованы для считывания информации таким образом.
→ Источник
Автор: Andiriney