Сколько информации можно передать через вентилятор CPU

в 10:51, , рубрики: air-gapping, rpm, SNR, SpeedFan, амплитудная модуляция, вентилятор, Железо, звук, информационная безопасность, кулер, Настольные компьютеры, частотная модуляция, эксфильтрация, метки:

15 бит в минуту

Сколько информации можно передать через вентилятор CPU - 1

Съём информации с изолированного компьютера, который не подключен к сети (air-gapped), представляет сложную, но интересную задачу. За последние десять лет разработано несколько способов такой эксфильтрации данных: например, запись электромагнитного излучения видеокарты и различных компонентов на материнской плате [1],
[2], [3], [4], распознавание нажатий клавиш по звуку, съём информации по оптическому [5] и термальному [6] каналам, передача аудиосигнала через динамики в слышимом и неслышимом диапазонах частот [7], [8], [9], радиопередача с монитора на AM-радиоприёмник [10] и другие.

Но никому прежде не приходила в голову передавать поток информации, изменяя скорость вращения вентилятора. А ведь это кажется тривиальной идеей.

Вредоносную программную систему под названием Fansmitter разработали Андрей Дайдакулов, Иосеф Солевич, Ювал Еловичи и Мордечай Гури и из научно-исследовательского центра компьютерной безопасности в университете имени Бен-Гуриона.

Съём информации через вентилятор компьютера имеет одно главное преимущество — такой вентилятор имеется в каждом настольном компьютере. Правда, он отсутствует в некоторых современных моделях ноутбуков, но такие гаджеты пока редкость на ядерных объектах и других защищённых объектах в России и за рубежом. Там обычно установлены самые простые и надёжные персональные компьютеры со стандартным системным блоком.

Сколько информации можно передать через вентилятор CPU - 2

Таким образом, вредоносная программа Fansmitter будет работать парктически на любом ПК, даже если у него отсутствует колонки и микрофон (audio-gap). Кроме того, звуковая система может быть отключена на уровне BIOS, чтобы предотвратить случайное или умышленное подключение внешних колонок к звуковому разъёму. Отключение аудиосистемы очень эффективно против обычной акустической эксфильтрации данных. Но только не против Fansmitter. В данном случае акустическая эксфильтрация не задействуют звуковую подсистему компьютера.

Передача сигнала происходит через изменение скорости вращения вентиляторов на процессоре. С изменением скорости вращения изменяются также звуковые характеристики. Информация регистрируется удалённым микрофоном на расстоянии несколько метров, например, обычным телефоном.

Сколько информации можно передать через вентилятор CPU - 3

Если классифицировать различные методы эксфильтрации данных с изолированного компьютера, то Fansmitter представляет собой пятый класс таких методов, наряду с электромагнитным излучением, оптическим съёмом (по светодиодам), термальным и акустическим.

Для успешной атаки Fansmitter требуется инфицировать непосредственно компьютер жертвы и мобильный телефон. Если с телефоном не возникнет никаких проблем, то вот установить вредоносную программу на изолированный ПК — это самая сложная часть гипотетической атаки. Разумеется, исследователи не уделяют внимания практическим методам установки зловреда на изолированный ПК, а только рассказывают о технической части задачи, то есть непосредственно о методах кодирования декодирования цифровых данных через шум вентиляторов.

На современных компьютерах управление вентиляторами процессора и системного блока осуществляется обычно через четырёхконтактный кабель. Назначение каждого контакта показано в таблице.

Контакт Обозначение Функция
1 (красный) GROUND Заземление
2 (чёрный) 12 V Питание 12 вольт
3 (чёрный) FAN_TACH Исходящий сигнал о скорости вращения вентилятора
4 (жёлтый) FAN_CONTROL Входящий сигнал для указания скорости вращения вентилятора

Как видим, третий кабель постоянно передаёт на материнскую плату сигнал о скорости вращения вентилятора. Четвёртый кабель передаёт указания изменить скорость вращения с помощью сигнала pulse-width modulation signal (PWM) [11]. В старых компьютерах четвёртый кабель отсутствует и скорость вращения вентилятора не регулируется.

Изменение скорости вращения вентилятора осуществляется автоматически или вручную. В последнем слуае это делается через BIOS или средствами операционной системы. Есть несколько проприетарных и открытых программ для управления и измерения скорости вращения вентилятора на различных материнских платах под Windows, Linux и macOS [12] [13] [14].

Известно, что с увеличением скорости вращения вентилятора возрастает его громкость (акустический шум). На диаграмме показан график воспринимаемой громкости вентилятора процессора при изменении скорости вращения с 1000 до 4500 RPM и обратно, с расстояния 1 метр (вверху) и 4 метра (внизу). В обоих случаях звук записан микрофоном мобильного телефона.

Сколько информации можно передать через вентилятор CPU - 4

Громкость может изменяться для различных моделей вентиляторов, но базовая тенденция остаётся неизменной: чем быстрее вращается вентилятор — тем сильнее шум.

Кроме того, с изменением скорости вращения меняется также высота звука — Blade pass frequency (BPF).

BPF (в герцах) измеряется умножением количества лопастей (n) на скорость вращения R в оборотах в минуту (RPM), так что

BPF = n * R/60

На графике показан типичный спектр шума вентилятора примерно на 1000 RPM.

Сколько информации можно передать через вентилятор CPU - 5

Для анализа звукового сигнала частоту дискретизации для простоты уменьшали с 44,1 кГц до 2 кГц и фильтровали сигнал в нужных диапазонах BPF. Таким образом получилось составить таблицу, какая скорость вращения соответствует какому BPF, например, для семилопастного вентилятора (в таблице).

R (RPM) BPF (Гц)
1000-1600 116-187
1600-3000 187-350
2000-2500 233-292
4000-4500 466-525

К сожалению, частоты в районах 100-600 Гц слышимы человеческим ухом, так что жертва атаки может на слух уловить изменение частоты. Авторы научной работы рекомендуют использовать несколько методов для маскировки атаки: 1) проводить её в такое время, когда минимальна вероятность присутствия рядом человека; 2) использовать максимально низкие частоты 140-170 Гц; 3) использовать близкие диапазоны частот, с разницей не более 100 Гц между 0 и 1.

Для модуляции сигнала исследователи использовали два метода: амплитудная модуляция (Amplitude Shift Keying, ASK) и частотная модуляция Frequency Shift Keying (FSK). Первый метод более универсальный и подходит почти ко всем вентиляторам, а второй метод более устойчив к окружающему шуму. В обоих случаях значения 0 и 1 передаются изменением скорости вращения вентилятора, но изменяемым параметром несущего сигнала является в первом случае его амплитуда, а во втором случае — частота несущего колебания.

На диаграммах внизу показана разница в регистрируемом сигнале, который передаётся методом амплитудной модуляции (вверху) и частотной модуляции (внизу). В обоих случаях передаётся сигнал 101010 с временным фреймом 5 секунд при изменении сокорсти вращения вентилятора между 1000 RPM и 1600 RPM. В первом случае передача осуществлялась в течение 60 секунд, во втором случае — 150 секунд.

Сколько информации можно передать через вентилятор CPU - 6
Амплитудная модуляция

Сколько информации можно передать через вентилятор CPU - 7
Частотная модуляция

Исследователи предлагают использовать метод динамической синхронизации при передаче данных, чтобы устранить ошибки, когда приёмник и передатчик изменяют своё местоположение друг относительно друга во время передачи. При динамической синхронизации перед каждым 12-битным фреймом полезных данных передаётся 4-битный контрольный фрейм.

Разработанный метод эксфильтрации данных исследователи проверили на компьютере Dell OptiPlex 9020 с материнской платой Intel Core i7-4790 и чипсетом Intel Q87 (Lynx Point). Как уже упоминалось, метод универсальный и его можно использовать с компьютерами разных моделей.

В качестве приёмника сигнала использовался мобильный телефон Samsung Galaxy S4 (I9500).

Эксперимент проводился в лаборатории со стандартным уровнем окружающего шума, где работало ещё несколько посторонних компьютеров и система воздушного кондиционирования.

Эксперимент показал, что скорость передачи данных через вентилятор сильно зависит от отношения сигнала к шуму (SNR). Чем сильнее окружающий шум по отношению к полезному сигналу — тем ниже скорость передачи.

Вот как выглядит передача полезной нагрузки в виде последовательности битов 01010101 с разными параметрами передачи и на разном расстоянии между приёмником и передатчиком.

Расстояние 1 метр, скорость вращения вентилятора 1000-1600 RPM, метод модуляции B-FSK. Эффективная скорость передачи составляет 3 бита в минуту
Сколько информации можно передать через вентилятор CPU - 8

Расстояние 1 метр, скорость вращения вентилятора 4000-4250 RPM, метод модуляции B-FSK. Эффективная скорость передачи составляет 15 бит в минуту
Сколько информации можно передать через вентилятор CPU - 9

Расстояние 4 метра, скорость вращения вентилятора 2000-2500 RPM, метод модуляции B-FSK. Эффективная скорость передачи составляет 10 бит в минуту
Сколько информации можно передать через вентилятор CPU - 10

В эксперименте удалось записать и расшифровать сигнал с мобильного телефона на расстоянии до 8 метров. Конечно, уровень SNR будет значительно выше, если использовать направленные микрофоны и другое специализированное оборудование.

Литература

[1] M. G. Kuhn and R. J. Anderson, «Soft Tempest: Hidden data transmission using electromagnetic emanations», Information hiding, Springer-Verlag, 1998, pp. 124-142. Вернуться к статье

[2] M. G. Kuhn, «Compromising emanations: Eavesdropping risks of computer displays», University of Cambridge, Computer Laboratory, 2003. Вернуться к статье

[3] M. Vuagnoux and S. Pasini, «Compromising Electromagnetic Emanations of Wired and Wireless Keyboards» USENIX security symposium, 2009. Вернуться к статье

[4] M. Guri, A. Kachlon, O. Hasson, G. Kedma, Y. Mirsky and Y. Elovici, «GSMem: Data Exfiltration from Air-Gapped Computers over GSM Frequencies,» Washington, D.C., 2015. Вернуться к статье

[5] J. Loughry and A. D. Umphress, «Information leakage from optical emanations», ACM Transactions on Information and System Security (TISSEC), vol. 5, no. 3, pp. 262-289, 2002. Вернуться к статье

[6] M. Guri, M. Monitz, Y. Mirski and Y. Elovici, «BitWhisper: Covert Signaling Channel between Air-Gapped Computers using Thermal Manipulations,» in Computer Security Foundations Symposium (CSF), IEEE, 2015. Вернуться к статье

[7] V. T. M. t. C. A.-G. S. f. P. N. Attack, «Eunchong Lee; Hyunsoo Kim; Ji Won Yoon», Information Security Applications, vol. 9503, pp. 187-199, 2015. Вернуться к статье

[8] M. Hanspach and M. Goetz, «On Covert Acoustical Mesh Networks in Air», Journal of Communications, vol. 8, 2013. Вернуться к статье

[9] A. Madhavapeddy, R. Sharp, D. Scott and A. Tse, «Audio networking: the forgotten wireless technology», Pervasive Computing, IEEE, vol. 4, no. 3, 2008. Вернуться к статье

[10] E. Thiele, «Tempest for Eliza», 2001. [Online]. Доступно:
www.erikyyy.de/tempest. [Accessed 4 10 2013]. Вернуться к статье

[11] Alfredo Milani Comparetti, «What is PWM and what is the difference between Analog and Digital?», 2004. [Online]. Доступно: www.almico.com/sfarticle.php?id=1. Вернуться к статье

[12] «SpeedFan», [Online]. Доступно: www.almico.com/sfdownload.php. Вернуться к статье

[13] «Mac/SMC Fan Control for Windows (+ Temp)», [Online]. Доступно: sourceforge.net/projects/macfan. Вернуться к статье

[14] «fanCON — Fan control for Linux systems», [Online]. Доступно: sourceforge.net/projects/fancon. Вернуться к статье

Автор: alizar

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js