15 бит в минуту
Съём информации с изолированного компьютера, который не подключен к сети (air-gapped), представляет сложную, но интересную задачу. За последние десять лет разработано несколько способов такой эксфильтрации данных: например, запись электромагнитного излучения видеокарты и различных компонентов на материнской плате [1],
[2], [3], [4], распознавание нажатий клавиш по звуку, съём информации по оптическому [5] и термальному [6] каналам, передача аудиосигнала через динамики в слышимом и неслышимом диапазонах частот [7], [8], [9], радиопередача с монитора на AM-радиоприёмник [10] и другие.
Но никому прежде не приходила в голову передавать поток информации, изменяя скорость вращения вентилятора. А ведь это кажется тривиальной идеей.
Вредоносную программную систему под названием Fansmitter разработали Андрей Дайдакулов, Иосеф Солевич, Ювал Еловичи и Мордечай Гури и из научно-исследовательского центра компьютерной безопасности в университете имени Бен-Гуриона.
Съём информации через вентилятор компьютера имеет одно главное преимущество — такой вентилятор имеется в каждом настольном компьютере. Правда, он отсутствует в некоторых современных моделях ноутбуков, но такие гаджеты пока редкость на ядерных объектах и других защищённых объектах в России и за рубежом. Там обычно установлены самые простые и надёжные персональные компьютеры со стандартным системным блоком.
Таким образом, вредоносная программа Fansmitter будет работать парктически на любом ПК, даже если у него отсутствует колонки и микрофон (audio-gap). Кроме того, звуковая система может быть отключена на уровне BIOS, чтобы предотвратить случайное или умышленное подключение внешних колонок к звуковому разъёму. Отключение аудиосистемы очень эффективно против обычной акустической эксфильтрации данных. Но только не против Fansmitter. В данном случае акустическая эксфильтрация не задействуют звуковую подсистему компьютера.
Передача сигнала происходит через изменение скорости вращения вентиляторов на процессоре. С изменением скорости вращения изменяются также звуковые характеристики. Информация регистрируется удалённым микрофоном на расстоянии несколько метров, например, обычным телефоном.
Если классифицировать различные методы эксфильтрации данных с изолированного компьютера, то Fansmitter представляет собой пятый класс таких методов, наряду с электромагнитным излучением, оптическим съёмом (по светодиодам), термальным и акустическим.
Для успешной атаки Fansmitter требуется инфицировать непосредственно компьютер жертвы и мобильный телефон. Если с телефоном не возникнет никаких проблем, то вот установить вредоносную программу на изолированный ПК — это самая сложная часть гипотетической атаки. Разумеется, исследователи не уделяют внимания практическим методам установки зловреда на изолированный ПК, а только рассказывают о технической части задачи, то есть непосредственно о методах кодирования декодирования цифровых данных через шум вентиляторов.
На современных компьютерах управление вентиляторами процессора и системного блока осуществляется обычно через четырёхконтактный кабель. Назначение каждого контакта показано в таблице.
| Контакт | Обозначение | Функция |
|---|---|---|
| 1 (красный) | GROUND | Заземление |
| 2 (чёрный) | 12 V | Питание 12 вольт |
| 3 (чёрный) | FAN_TACH | Исходящий сигнал о скорости вращения вентилятора |
| 4 (жёлтый) | FAN_CONTROL | Входящий сигнал для указания скорости вращения вентилятора |
Как видим, третий кабель постоянно передаёт на материнскую плату сигнал о скорости вращения вентилятора. Четвёртый кабель передаёт указания изменить скорость вращения с помощью сигнала pulse-width modulation signal (PWM) [11]. В старых компьютерах четвёртый кабель отсутствует и скорость вращения вентилятора не регулируется.
Изменение скорости вращения вентилятора осуществляется автоматически или вручную. В последнем слуае это делается через BIOS или средствами операционной системы. Есть несколько проприетарных и открытых программ для управления и измерения скорости вращения вентилятора на различных материнских платах под Windows, Linux и macOS [12] [13] [14].
Известно, что с увеличением скорости вращения вентилятора возрастает его громкость (акустический шум). На диаграмме показан график воспринимаемой громкости вентилятора процессора при изменении скорости вращения с 1000 до 4500 RPM и обратно, с расстояния 1 метр (вверху) и 4 метра (внизу). В обоих случаях звук записан микрофоном мобильного телефона.
Громкость может изменяться для различных моделей вентиляторов, но базовая тенденция остаётся неизменной: чем быстрее вращается вентилятор — тем сильнее шум.
Кроме того, с изменением скорости вращения меняется также высота звука — Blade pass frequency (BPF).
BPF (в герцах) измеряется умножением количества лопастей (n) на скорость вращения R в оборотах в минуту (RPM), так что
BPF = n * R/60
На графике показан типичный спектр шума вентилятора примерно на 1000 RPM.
Для анализа звукового сигнала частоту дискретизации для простоты уменьшали с 44,1 кГц до 2 кГц и фильтровали сигнал в нужных диапазонах BPF. Таким образом получилось составить таблицу, какая скорость вращения соответствует какому BPF, например, для семилопастного вентилятора (в таблице).
| R (RPM) | BPF (Гц) |
|---|---|
| 1000-1600 | 116-187 |
| 1600-3000 | 187-350 |
| 2000-2500 | 233-292 |
| 4000-4500 | 466-525 |
К сожалению, частоты в районах 100-600 Гц слышимы человеческим ухом, так что жертва атаки может на слух уловить изменение частоты. Авторы научной работы рекомендуют использовать несколько методов для маскировки атаки: 1) проводить её в такое время, когда минимальна вероятность присутствия рядом человека; 2) использовать максимально низкие частоты 140-170 Гц; 3) использовать близкие диапазоны частот, с разницей не более 100 Гц между 0 и 1.
Для модуляции сигнала исследователи использовали два метода: амплитудная модуляция (Amplitude Shift Keying, ASK) и частотная модуляция Frequency Shift Keying (FSK). Первый метод более универсальный и подходит почти ко всем вентиляторам, а второй метод более устойчив к окружающему шуму. В обоих случаях значения 0 и 1 передаются изменением скорости вращения вентилятора, но изменяемым параметром несущего сигнала является в первом случае его амплитуда, а во втором случае — частота несущего колебания.
На диаграммах внизу показана разница в регистрируемом сигнале, который передаётся методом амплитудной модуляции (вверху) и частотной модуляции (внизу). В обоих случаях передаётся сигнал 101010 с временным фреймом 5 секунд при изменении сокорсти вращения вентилятора между 1000 RPM и 1600 RPM. В первом случае передача осуществлялась в течение 60 секунд, во втором случае — 150 секунд.
Амплитудная модуляция
Частотная модуляция
Исследователи предлагают использовать метод динамической синхронизации при передаче данных, чтобы устранить ошибки, когда приёмник и передатчик изменяют своё местоположение друг относительно друга во время передачи. При динамической синхронизации перед каждым 12-битным фреймом полезных данных передаётся 4-битный контрольный фрейм.
Разработанный метод эксфильтрации данных исследователи проверили на компьютере Dell OptiPlex 9020 с материнской платой Intel Core i7-4790 и чипсетом Intel Q87 (Lynx Point). Как уже упоминалось, метод универсальный и его можно использовать с компьютерами разных моделей.
В качестве приёмника сигнала использовался мобильный телефон Samsung Galaxy S4 (I9500).
Эксперимент проводился в лаборатории со стандартным уровнем окружающего шума, где работало ещё несколько посторонних компьютеров и система воздушного кондиционирования.
Эксперимент показал, что скорость передачи данных через вентилятор сильно зависит от отношения сигнала к шуму (SNR). Чем сильнее окружающий шум по отношению к полезному сигналу — тем ниже скорость передачи.
Вот как выглядит передача полезной нагрузки в виде последовательности битов 01010101 с разными параметрами передачи и на разном расстоянии между приёмником и передатчиком.
Расстояние 1 метр, скорость вращения вентилятора 1000-1600 RPM, метод модуляции B-FSK. Эффективная скорость передачи составляет 3 бита в минуту
Расстояние 1 метр, скорость вращения вентилятора 4000-4250 RPM, метод модуляции B-FSK. Эффективная скорость передачи составляет 15 бит в минуту
Расстояние 4 метра, скорость вращения вентилятора 2000-2500 RPM, метод модуляции B-FSK. Эффективная скорость передачи составляет 10 бит в минуту
В эксперименте удалось записать и расшифровать сигнал с мобильного телефона на расстоянии до 8 метров. Конечно, уровень SNR будет значительно выше, если использовать направленные микрофоны и другое специализированное оборудование.
Литература
[1] M. G. Kuhn and R. J. Anderson, «Soft Tempest: Hidden data transmission using electromagnetic emanations», Information hiding, Springer-Verlag, 1998, pp. 124-142. Вернуться к статье
[2] M. G. Kuhn, «Compromising emanations: Eavesdropping risks of computer displays», University of Cambridge, Computer Laboratory, 2003. Вернуться к статье
[3] M. Vuagnoux and S. Pasini, «Compromising Electromagnetic Emanations of Wired and Wireless Keyboards» USENIX security symposium, 2009. Вернуться к статье
[4] M. Guri, A. Kachlon, O. Hasson, G. Kedma, Y. Mirsky and Y. Elovici, «GSMem: Data Exfiltration from Air-Gapped Computers over GSM Frequencies,» Washington, D.C., 2015. Вернуться к статье
[5] J. Loughry and A. D. Umphress, «Information leakage from optical emanations», ACM Transactions on Information and System Security (TISSEC), vol. 5, no. 3, pp. 262-289, 2002. Вернуться к статье
[6] M. Guri, M. Monitz, Y. Mirski and Y. Elovici, «BitWhisper: Covert Signaling Channel between Air-Gapped Computers using Thermal Manipulations,» in Computer Security Foundations Symposium (CSF), IEEE, 2015. Вернуться к статье
[7] V. T. M. t. C. A.-G. S. f. P. N. Attack, «Eunchong Lee; Hyunsoo Kim; Ji Won Yoon», Information Security Applications, vol. 9503, pp. 187-199, 2015. Вернуться к статье
[8] M. Hanspach and M. Goetz, «On Covert Acoustical Mesh Networks in Air», Journal of Communications, vol. 8, 2013. Вернуться к статье
[9] A. Madhavapeddy, R. Sharp, D. Scott and A. Tse, «Audio networking: the forgotten wireless technology», Pervasive Computing, IEEE, vol. 4, no. 3, 2008. Вернуться к статье
[10] E. Thiele, «Tempest for Eliza», 2001. [Online]. Доступно:
www.erikyyy.de/tempest. [Accessed 4 10 2013]. Вернуться к статье
[11] Alfredo Milani Comparetti, «What is PWM and what is the difference between Analog and Digital?», 2004. [Online]. Доступно: www.almico.com/sfarticle.php?id=1. Вернуться к статье
[12] «SpeedFan», [Online]. Доступно: www.almico.com/sfdownload.php. Вернуться к статье
[13] «Mac/SMC Fan Control for Windows (+ Temp)», [Online]. Доступно: sourceforge.net/projects/macfan. Вернуться к статье
[14] «fanCON — Fan control for Linux systems», [Online]. Доступно: sourceforge.net/projects/fancon. Вернуться к статье
