Три сценария для гипотетического секретного канала передачи данных: колонки-колонки, колонки-наушники (без микрофона) и наушники-наушники (без микрофонов)

Специалисты из научно-исследовательского центра компьютерной безопасности в университете имени Бен-Гуриона за последние годы представили немало креативных способов снятия информации с изолированного компьютера: по морганию светодиода HDD, электромагнитному излучению разъёма USB, шуму кулера GPU и так далее.

В конце 2016 года они представили программу Speake(a)r, которая незаметно для пользователя превращает его наушники в микрофон. Сейчас специалисты описали атаку MOSQUITO с описанием протокола для обмена данными между колонками и наушниками на разных компьютерах, расположенных на расстоянии до 10 метров.

На аппаратном уровне микрофон и колонки/наушники работают по схожему принципу. Микрофон преобразует звук в электрические сигналы, а пассивные колонки или наушники осуществляют обратную операцию. В обоих устройствах присутствует маленькая диафрагма, которая колеблется в магнитном поле для генерации/детектирования звуковых волн. Схожее аппаратное устройство позволяет использовать микрофон вместо наушников или наушники вместо микрофона.
Особенность программы Speake(a)r состоит в том, что она незаметно меняет назначение аудиоразъёма, куда подключены наушники. Вместо аудиовыхода (line out) разъём начинает работать на приём данных (line in).

Атака MOSQUITO предусматривает, что зловред каким-то образом устанавливается на компьютер, изолированный от внешних каналов передачи данных (air-gapped), а затем передаёт секретную информацию найденную на этом компьютере — локальные файлы — генерируя звук через подключенные колонки или наушники.

Информация принимается на другом ПК. Предполагается, что этот второй компьютер или принадлежит злоумышленнику, или тоже заражён зловредом, но при этом подключен к интернету, так что может «слить» информацию во внешний мир. Компьютер-приёмник получает аудиосигнал через подключенные колонки или наушники и восстанавливает исходные файлы. Нужно заметить, что активные колонки нельзя использовать в качестве микрофонов. В этом качестве работают только пассивные колонки или обычные наушники.

Исследователи опубликовали детали протокола передачи данных и испытали его на рсстояниях от 1 до 9 метров. Максимальная скорость передачи составила 1200-1800 бит/с в случае, если колонки двух компьютеров направлены друг на друга, а звук издаётся в слышимом диапазоне (ниже 18 кГц).

Если же рассматривать более реалистичные сценарии, когда передачу данных требуется скрыть от присутствующих людей, а колонки развёрнуты в разные стороны, то скорость передачи существенно снижается. Проблема в том, что колонки для домашних пользователей часто оптимизируются для более качественного звучания исключительно на средних частотах, которые лучше всего воспринимаются человеческим слухом. Соответственно, в не воспринимаемых человеком сверхнизких и сверхвысоких частотах колонки работают не очень качественно.

Скорость передачи также снижается, если вместо колонок для передачи звука использовать наушники-вкладыши — от 300 до 600 бит/с, а в случае наголовных микрофонов ещё меньше — до 250 бит/с. Причина в том, что закрытые наушники направляют звук в одном направлении и довольно хорошо изолируют его в остальных, так что успешная передача данных возможно только на очень малом расстоянии.

В лабораторных условиях на расстоянии 3 метра в диапазоне от 18 кГц до 24 кГц с коэффициентом ошибок не более 1% передача килобайтного файла произведена на скорости 166 бит/с. На расстоянии от 4 до 9 метров с тем же коэффициентом ошибок скорость понижается до 10 бит/с.

Среди других факторов, которые ограничивают скорость передачи данных, учёные называют окружающие шумы, в том числе музыку и человеческую речь. Но многих помех можно избежать, если передавать информацию в диапазоне выше 18 кГц.


Исследователи считают, что самый действенный способ защититься от подобной атаки — отключить от компьютера наушники и динамики, но это не всегда возможно.

Комментарии (14)


  1. Boba_Fett
    13.03.2018 19:04

    Исследователи считают, что самый действенный способ защититься от подобной атаки — отключить от компьютера наушники и динамики, но это не всегда возможно.
    Отключат наушники — дросселями свистеть начнёт.


  1. tormozedison
    13.03.2018 20:16

    Если принимающие колонки будут активными, фокус не пройдёт.


  1. Vitalley
    13.03.2018 20:54

    Мне кажется что тут польщователь сразу услышит подвох, компьютерная аудмосистема не расчитана на частоты выше 20кгц, придется работать в звуковом диаппазоне


    1. Sadler
      14.03.2018 09:27

      Передавайте на 19-20 КГц, их не услышит почти никто.


    1. EvgeniyNuAfanasievich
      14.03.2018 11:31

      как правило, там нет фильтров среза, просто громкость будет значительно меньше, но излучение будет.


  1. Exchan-ge
    13.03.2018 21:35

    Атака MOSQUITO предусматривает, что зловред каким-то образом устанавливается на компьютер, изолированный от внешних каналов передачи данных (air-gapped), а затем передаёт секретную информацию найденную на этом компьютере — локальные файлы — генерируя звук через подключенные колонки или наушники.


    К компьютеру, изолированному от внешних каналов передачи данных и содержащем секретную информацию кто-то подключит АС или наушники?
    При таком организационном бардаке гораздо проще будет использовать обычные средства негласного съема информации.

    image


    1. tormozedison
      13.03.2018 21:38

      Там уже есть PC Speaker.


      1. Exchan-ge
        14.03.2018 23:06

        Там уже есть PC Speaker


        Мне давно не попадался сей девайс на новых МВ.


  1. Sadler
    14.03.2018 09:24

    Особенность программы Speake(a)r состоит в том, что она незаметно меняет назначение аудиоразъёма, куда подключены наушники. Вместо аудиовыхода (line out) разъём начинает работать на приём данных (line in).
    Что в общем случае невозможно, т.к. требуется взаимодействие с аудиодрайвером, коих дофига, из которых не каждый ещё умеет переключать назначение разъёма. Realtek какой-нибудь разве что, как самый популярный, юзать, но не очень понятно, зачем нужен такой канал между уже заражёнными машинами, когда у пользователей порой можно встретить незащищённые гигабитные каналы в интернет.


    1. Wolframium13
      14.03.2018 09:29

      Ну написано же, чтобы слить информацию с машины, у которой нет доступа в интернет, на машину с доступом.


      1. Sadler
        14.03.2018 09:31

        При условии того, что обе машины уже заражены, а вторая, с интернетом, находится в радиусе слышимости. Очень узкая ниша.


        1. lv333
          14.03.2018 10:33

          Если протокол односторонний, то выходной сигнал можно вполне на диктофон записать, а потом уже в спокойной обстановке проанализировать.


          1. QDeathNick
            14.03.2018 12:54

            Тогда уж лучше просто с экрана всё сфотографировать, раз можно выносить диктофоны и телефоны, гораздо быстрее скорость передачи.
            Очень странная ниша у этой "атаки"


  1. amarao
    14.03.2018 17:17

    Вектор атаки вполне осмысленный (например, атака на cold storage, атака на air-gapped CA и т.д.), но весь вопрос состоит в том, что кто ж включает в air-gapped компьютер пассивные колонки или наушники?