Нарушен один из ключевых принципов информационной безопасности – полная изоляция компьютера, содержащего важные сведения, от любых сетей. Специалисты из Израиля разработали метод передачи информации между устройствами, используя электромагнитные волны, излучаемые стандартными модулями оперативной памяти.
Впечатляющий трюк под названием AIR-FI продемонстрировал Мордехай Гури (Mordechai Guri) из Университета имени Бен-Гуриона в Негеве (BGU, Ben-Gurion University of the Negev). Гури подробно изложил в своей статье, как ему и его коллегам удалось разработать данную технологию передачи данных, опубликованной на портале arXiv.
Принцип атаки очевиден: он основан на использовании основного радиодиапазона, используемого стандартом Wi-Fi — 2,4 гигагерца соответствует наиболее часто используемой частоте оперативной памяти (ОЗУ) согласно существующим стандартам DDR3 и DDR4. Значит, приемник Wi-Fi способен уловить электромагнитные волны, испускаемые модулями ОЗУ во время работы. А излучают их любые электронные устройства под напряжением. Оставалось только разработать протоколы передачи данных, а также программное обеспечение (ПО) как для передачи, так и для улавливания сигналов.
Данные, содержащиеся в сигнале, передаются посредством обращения к памяти, происходящего в точно определенные моменты времени. Для осуществления передачи требуется относительно простой код, который можно разместить на зараженном компьютере. Его можно интегрировать почти в любое программное обеспечение и сделать невидимым для большинства средств защиты.
Ключевым преимуществом является то, что данный алгоритм не оказывает влияния на стабильную работу компьютера, не нуждается в правах администратора и может быть внедрен в любой операционной системе. Таким образом, его можно применять даже в виртуальной машине ( VM) несмотря на это, он не предотвратит утечку данных, если код не был проверен на предмет уязвимостей.
Работа принимающего оборудования организована более сложным образом. Этот сигнал не воспринимается как обычный Wi-Fi-сеть, отображается в списке доступных подключений. Она обладает широкой полосой пропускания, но при этом характеризуется низкой мощностью. Тем не менее, ее можно обнаружить, анализируя помехи, создаваемые излучением оперативной памяти, влияющим на существующие сети, или выделяя сигнал на фоне радиопомех. Для этого необходим доступ к радиомодулю смартфона или ноутбука на низком уровне, что не представляет сложности, поскольку у злоумышленника будет возможность подготовить приемное устройство. В ходе своих экспериментов, один из которых продемонстрирован на видео, Гури достиг скорости передачи данных, составляющей 100 бит в секунду, и обеспечил эффективную дальность связи в несколько метров.
Внимательные пользователи обнаружат, что не все модули оперативной памяти функционируют на частоте 2400 мегагерц, и их наблюдение будет верным. Мордехай также убедился в возможности использования памяти с другими характеристиками. Его исследование показало, что подобная атака будет сложнее, хотя и не существенно. Для её реализации злоумышленнику потребуется внести изменения в код, добавляющие модули, отвечающие за корректировку частоты памяти.
Важно, чтобы частота была кратной 2,4 гигагерца, а не обязательно именно таким значением. Дело в том, что фактическая частота работы памяти, заявленной как 2400 мегагерц, на самом деле не превышает 1200 мегагерц (для шины данных), а сам модуль работает на частоте 300 мегагерц).
Мордехай приводит несколько примеров вредоносных программ, которые могут изменять параметры оперативной памяти через интерфейс UEFI. При этом некоторые из этих вирусов не нуждаются в правах администратора. В любом случае, задача инженера не заключалась в поиске методов заражения, поскольку их и без этого можно разработать в достаточном количестве. Гури уже несколько лет изучает способы передачи данных с изолированных компьютеров в рамках своего проекта Air-Gap. Утечка по радиодиапазону Wi-Fi — лишь одна из немногих его разработок.
В ходе оценки Гури изучил свыше двадцати аналогичных технологий. В их числе были и весьма необычные разработки:
- соединение компьютера и смартфона по частотам GSM за счет видеокарты;
- слив данных при помощи манипуляций с издаваемыми системным блоком звуками — используя блок питания, кулеры или жесткий диск;
- и даже передача информации при помощи теплового излучения от компьютера.
Некоторые могут посчитать достигнутые скорости и используемые методы передачи данных нелепыми, излишними или даже неправдоподобными. Тем не менее, это — реальность повседневной работы специалистов по настройке изолированных компьютерных систем. К примеру, Исследовательский центр по кибербезопасности BGU, специалисты по кибербезопасности исследуют различные пути утечки данных с объектов, имеющих ограниченный доступ. При этом они все чаще выявляют способы, позволяющие преодолеть даже самые современные системы защиты.
Ранее Гури уже показывал, как можно обойти, на первый взгляд, законы физики. В его эксперименте ODINI утечку данных с изолированного компьютера не заблокировала даже клетка Фарадея, предназначенная для отсечения всех радиосигналов.