Содержимое памяти ПК растекается на 7 метров вокруг
|
Новая атака по побочному каналу, получившая название "RAMBO" (излучение шины памяти с воздушным зазором для атаки), генерирует электромагнитное излучение из оперативной памяти устройства для отправки данных с компьютеров с воздушным зазором. |
Системы с воздушным зазором, обычно используемые в критически важных средах с исключительно высокими требованиями к безопасности, таких как правительственные учреждения, системы вооружения и атомные электростанции, изолированы от общедоступного Интернета и других сетей для предотвращения заражения вредоносными программами и кражи данных. |
Хотя эти системы не подключены к более широкой сети, они все равно могут быть заражены сотрудниками-злоумышленниками, внедряющими вредоносное ПО через физические носители (USB-накопители), или сложными атаками на цепочки поставок, осуществляемыми государственными структурами. |
Вредоносная программа может действовать скрытно, модулируя компоненты оперативной памяти системы с воздушным зазором таким образом, чтобы обеспечить передачу секретных данных с компьютера находящемуся поблизости получателю. |
Новейший метод, относящийся к этой категории атак, разработан исследователями из израильского университета во главе с Мордехаем Гури, опытным экспертом в области скрытых каналов атаки, который ранее разработал методы утечки данных с использованием светодиодов сетевой карты, радиочастотных сигналов USB-накопителя, кабелей SATA и источников питания. |
Как работает атака RAMBO |
Для проведения атаки Rambo злоумышленник внедряет вредоносное ПО на компьютер с воздушным зазором, чтобы собрать конфиденциальные данные и подготовить их к передаче. Оно передает данные, манипулируя схемами доступа к памяти (операции чтения/записи по шине памяти) для создания контролируемого электромагнитного излучения из оперативной памяти устройства. |
Эти выбросы, по сути, являются побочным продуктом быстрого переключения электрических сигналов вредоносной программой (включение-выключение "OOK") в оперативной памяти - процесса, который не отслеживается средствами безопасности и не может быть помечен или остановлен. |
Код для выполнения модуляции OOK |
Передаваемые данные кодируются в виде "1" и "0", которые в радиосигналах представлены как "включено" и "выключено". Исследователи решили использовать Манчестерский код для улучшения обнаружения ошибок и обеспечения синхронизации сигналов, что снижает вероятность неправильной интерпретации на стороне получателя. |
Злоумышленник может использовать относительно недорогую программно-определяемую радиостанцию (SDR) с антенной для перехвата модулированных электромагнитных излучений и преобразования их обратно в двоичную информацию. |
Производительность и ограничения |
Атака RAMBO обеспечивает скорость передачи данных до 1000 бит в секунду, что соответствует 128 байтам в секунду, или 0,125 Кбит/с. |
При такой скорости для извлечения 1 мегабайта данных потребуется около 2,2 часов, поэтому RAMBO больше подходит для кражи небольших объемов данных, таких как текст, нажатия клавиш и небольшие файлы. |
Исследователи обнаружили, что при тестировании атаки можно вести кейлоггинг в режиме реального времени. Однако кража пароля занимает от 0,1 до 1,28 секунды, 4096-битного ключа RSA - от 4 до 42 секунд, а небольшого изображения - от 25 до 250 секунд, в зависимости от скорости передачи. |
Максимальная дальность быстрой передачи данных ограничена 300 см (10 футов), при этом частота ошибок в битах составляет 2-4%. При среднескоростной передаче расстояние увеличивается до 450 см (15 футов) при той же частоте ошибок. Наконец, медленные передачи с почти нулевой частотой ошибок могут надежно работать на расстояниях до 7 метров (23 фута). |
Исследователи также экспериментировали со скоростью передачи до 10 000 бит/с, но обнаружили, что все, что превышает 5000 бит/с, приводит к очень низкому соотношению сигнал/шум для эффективной передачи данных. |
Остановим РЭМБО |
В техническом документе, опубликованном на Arxiv, содержится несколько рекомендаций по смягчению последствий атаки RAMBO и аналогичных атак по скрытым каналам на основе электромагнитных помех, но все они связаны с различными накладными расходами. |
Рекомендации включают строгие зональные ограничения для усиления физической защиты, постановку помех от ТАРАНА для нарушения скрытых каналов в источнике, внешние электромагнитные помехи для нарушения радиосигналов и ограждения Фарадея для защиты систем с воздушными зазорами от внешнего электромагнитного излучения. |
Исследователи протестировали RAMBO на уязвимых процессах, запущенных внутри виртуальных машин, и обнаружили, что он остается эффективным. |
Однако, поскольку память хоста подвержена различным взаимодействиям с операционной системой хоста и другими виртуальными машинами, атаки, скорее всего, будут быстро пресечены. |
Источник |
При использовании материалов с сайта активная ссылка на него обязательна
|