|
Содержимое памяти ПК растекается на 7 метров вокруг
|
|
|
|
Новая атака по побочному каналу, получившая название "RAMBO" (излучение шины памяти с воздушным зазором для атаки), генерирует электромагнитное излучение из оперативной памяти устройства для отправки данных с компьютеров с воздушным зазором.
|
|
|
|
Системы с воздушным зазором, обычно используемые в критически важных средах с исключительно высокими требованиями к безопасности, таких как правительственные учреждения, системы вооружения и атомные электростанции, изолированы от общедоступного Интернета и других сетей для предотвращения заражения вредоносными программами и кражи данных.
|
|
|
|
Хотя эти системы не подключены к более широкой сети, они все равно могут быть заражены сотрудниками-злоумышленниками, внедряющими вредоносное ПО через физические носители (USB-накопители), или сложными атаками на цепочки поставок, осуществляемыми государственными структурами.
|
|
|
|
Вредоносная программа может действовать скрытно, модулируя компоненты оперативной памяти системы с воздушным зазором таким образом, чтобы обеспечить передачу секретных данных с компьютера находящемуся поблизости получателю.
|
|
|
Новейший метод, относящийся к этой категории атак, разработан исследователями из израильского университета во главе с Мордехаем Гури, опытным экспертом в области скрытых каналов атаки, который ранее разработал методы утечки данных с использованием светодиодов сетевой карты, радиочастотных сигналов USB-накопителя, кабелей SATA и источников питания.
|
|
|
|
Как работает атака RAMBO
|
|
|
|
Для проведения атаки Rambo злоумышленник внедряет вредоносное ПО на компьютер с воздушным зазором, чтобы собрать конфиденциальные данные и подготовить их к передаче. Оно передает данные, манипулируя схемами доступа к памяти (операции чтения/записи по шине памяти) для создания контролируемого электромагнитного излучения из оперативной памяти устройства.
|
|
|
|
Эти выбросы, по сути, являются побочным продуктом быстрого переключения электрических сигналов вредоносной программой (включение-выключение "OOK") в оперативной памяти - процесса, который не отслеживается средствами безопасности и не может быть помечен или остановлен.
|
|
Код для выполнения модуляции OOK
|
|
|
|
Передаваемые данные кодируются в виде "1" и "0", которые в радиосигналах представлены как "включено" и "выключено". Исследователи решили использовать Манчестерский код для улучшения обнаружения ошибок и обеспечения синхронизации сигналов, что снижает вероятность неправильной интерпретации на стороне получателя.
|
|
|
|
Злоумышленник может использовать относительно недорогую программно-определяемую радиостанцию (SDR) с антенной для перехвата модулированных электромагнитных излучений и преобразования их обратно в двоичную информацию.
|
|
|
|
Производительность и ограничения
|
|
|
|
Атака RAMBO обеспечивает скорость передачи данных до 1000 бит в секунду, что соответствует 128 байтам в секунду, или 0,125 Кбит/с.
|
|
|
|
При такой скорости для извлечения 1 мегабайта данных потребуется около 2,2 часов, поэтому RAMBO больше подходит для кражи небольших объемов данных, таких как текст, нажатия клавиш и небольшие файлы.
|
|
|
|
Исследователи обнаружили, что при тестировании атаки можно вести кейлоггинг в режиме реального времени. Однако кража пароля занимает от 0,1 до 1,28 секунды, 4096-битного ключа RSA - от 4 до 42 секунд, а небольшого изображения - от 25 до 250 секунд, в зависимости от скорости передачи.
|
|
|
|
Максимальная дальность быстрой передачи данных ограничена 300 см (10 футов), при этом частота ошибок в битах составляет 2-4%. При среднескоростной передаче расстояние увеличивается до 450 см (15 футов) при той же частоте ошибок. Наконец, медленные передачи с почти нулевой частотой ошибок могут надежно работать на расстояниях до 7 метров (23 фута).
|
|
|
|
Исследователи также экспериментировали со скоростью передачи до 10 000 бит/с, но обнаружили, что все, что превышает 5000 бит/с, приводит к очень низкому соотношению сигнал/шум для эффективной передачи данных.
|
|
|
|
Остановим РЭМБО
|
|
|
|
В техническом документе, опубликованном на Arxiv, содержится несколько рекомендаций по смягчению последствий атаки RAMBO и аналогичных атак по скрытым каналам на основе электромагнитных помех, но все они связаны с различными накладными расходами.
|
|
|
|
Рекомендации включают строгие зональные ограничения для усиления физической защиты, постановку помех от ТАРАНА для нарушения скрытых каналов в источнике, внешние электромагнитные помехи для нарушения радиосигналов и ограждения Фарадея для защиты систем с воздушными зазорами от внешнего электромагнитного излучения.
|
|
|
|
Исследователи протестировали RAMBO на уязвимых процессах, запущенных внутри виртуальных машин, и обнаружили, что он остается эффективным.
|
|
|
|
Однако, поскольку память хоста подвержена различным взаимодействиям с операционной системой хоста и другими виртуальными машинами, атаки, скорее всего, будут быстро пресечены.
|
|
|
|
Источник
|
