Блуждая по просторам интернета, наткнулся на любопытные исследования специалистов по компьютерной безопасности из израильского университета. Они создали вредоносную программу (Malware), назначение которой – передача данных на расположенную в зоне прямой видимости камеру с находящегося в офф-лайне компьютера. Цель состояла в моделировании хакерской атаки и возможности трансляции данных с зараженного компьютера с использованием светодиода активности жесткого диска. Технология, на мой взгляд, несколько голливудская, но, тем не менее, интересная.

LED-it-GO. Использование световых сигналов для кражи данных


Авторы назвали свое исследование «LED-it-GO: Leaking (a lot of) Data from Air-Gapped Computers via the (small) Hard Drive LED». Техническая сторона заключается в использовании светодиода, отражающего активность накопителя, установленного в компьютер, в качестве источника данных, которые он передает своим миганием.

Он загорается при каждой операции чтения или записи, совершаемой накопителем. Таких светодиодов может быть несколько, например, по одному на каждый диск в сервере или сетевом хранилище. Десктопные компьютеры используют один общий источник светового сигнала на все накопители. Как правило, он расположен на лицевой панели, а у ноутбуков – на верхней панели рядом с клавиатурой или на передней грани.

Сигнал генерируется включением и выключением светодиода. Управляет им материнская плата, и не было найдено какого-либо способа непосредственного управления им. Поэтому, разработчикам пришлось управлять длительностью и частотой включения светодиода, обращаясь к диску для чтения или записи блоков нужной длины. Для того, чтобы не оставлять в системе каких-либо следов, использовалась только операция чтения.

Информация передавалась пакетами двух видов: постоянной длины и переменной. Каждый пакет предваряется 8-битным заголовком. В случае фиксированной длины пакета следовали 256 битов данных, заканчивающихся контрольной суммой. При переменной длине пакета между заголовком и собственно данными передавалась длина блока данных.

Пакеты фиксированной длины предпочтительнее при передаче небольшого количества данных, например, пароля, ключа шифрования и т. п. Пакеты с переменной длиной позволяют передавать целые файлы.

Результаты теста


Исследователи использовали разные виды камер и светодиоды разного цвета – красные, белые, синие. Максимальная скорость передачи, которую мог обеспечить светодиод своим свечением, составляла 4000 бит в секунду. При этом было выявлено, что светодиоды синего цвета обеспечивают наиболее сильный световой сигнал.

Для считывания сигналов светодиода использовались разные камеры: GoPro, зеркальные фотокамеры начального уровня, вебкамеры, смартфоны, очки Google Glass. Опытным путем было выяснено, что большинство этих камер могут обеспечивать распознавание сигналов со скоростью до 15 бит в секунду. При этом GoPro Hero5 позволяла принимать сигнал со скоростью до 120 бит в секунду.

В проведенном тесте считываемый сигнал с системного блока, установленного в помещении, считывался при помощи камеры, смонтированной на дроне, который через окно записывал генерируемую информацию. Результаты можно увидеть в ролике, представленном разработчиками.

LED-it-GO — атака, которую трудно распознать


Разработчики заявляют, что, т. к. индикатор активности диска мигает часто и довольно хаотично, добавление к нему дополнительных миганий вряд ли будет заметным. При этом во время передачи данных светодиод мигает так часто, что для человеческого глаза кажется, что он горит постоянно.
Сложность обнаружения такой атаки состоит в том, что в компьютере всегда мигает какой-либо светодиод, или даже несколько, и на это, как правило, никто не обращает никакого внимания. При скорости передачи до 4000 бит в секунду даже передача больших файлов, в принципе, становится возможной.

Цель – компьютер, не подключенный к сети интернет


Если компьютер подключен к всемирной сети, то гораздо проще использовать это подключение для кражи данных, нежели заморачиваться со светодиодами и камерами.

Другое дело компьютеры, хранящие важные данные и не имеющие такого подключения. Правда, тут возникают 2 проблемы:

• Обычно такие компьютеры устанавливаются в помещениях без окон, без размещения иных электронных устройств поблизости.
• Необходимо каким-то образом инфицировать такой компьютер вирусом (Malware). Сделать обычным способом (через вложенный в почтовое сообщение файл, скачанный файл и т. п.) не представляется возможным.

Если в помещении есть окна, то защититься от такого способа кражи информации можно, если заклеить или отключить светодиоды, установить систему мониторинга активности светодиодов, или сделать окна визуально непроницаемыми при взгляде снаружи в помещение, где установлены компьютеры. Также не следует использовать камеры видеонаблюдения, которые могут быть использованы для считывания информации таким образом.

> Источник
Поделиться с друзьями
-->

Комментарии (8)


  1. iig
    27.02.2017 21:43

    Напоминает передачу данных через модуляцию частоты вращения кулера.


  1. snowytoxa
    28.02.2017 00:53

    Вот только ребята забыли поинтересоваться, что помещения в которых обрабатывается секретная информация защищаются также физически, в том числе жалюзи на окна.


    1. alexkunin
      28.02.2017 01:42

      Уборщица пришла и открыла окно пока полы моет. Новенькая, или подсадная. Физическая защита — всего лишь еще один слой, который всего лишь затрудняет доступ, а не делает его невозможным.


    1. avost
      28.02.2017 02:49

      Вообще-то, в статье об этом написано в явном виде. Вы её точно прочли?


    1. site6893
      28.02.2017 12:30

      вы видимо статью и не читали полностью ))


      1. snowytoxa
        28.02.2017 12:55

        каюсь, последний абзац не дочитал, но я скорее хотел акцентировать внимание, что такой физический слой защиты — это прям таки требование в различных ИБ стандартах.


  1. LoadRunner
    28.02.2017 09:01

    защититься от такого способа кражи информации можно, если заклеить или отключить светодиоды
    Мне кажется, это вообще должно быть одним из основных действий по установке защищённого компьютера. И тогда никакие окна с уборщицами (кто их в такие помещения пускает?) не страшны.


    1. iig
      28.02.2017 11:34

      Ну, кто-то же должен делать уборку. Почему бы и не уборщица?
      Организовать утечку данных всегда есть способ. Вопрос в сложности реализации. Можно и энергопотреблением управлять, а измерять ток будет замурованная в стену железка, про которую никто где знает.