國家保密局網(wǎng)站>>保密科技

新型攻擊方式可通過硬盤燈突破物理隔離

2018年04月16日    來源:國家保密科技測(cè)評(píng)中心【字體: 打印

近年來,隨著國內(nèi)外竊密斗爭(zhēng)形勢(shì)的日益復(fù)雜,物理隔離網(wǎng)絡(luò)逐漸成為重要攻擊目標(biāo),出現(xiàn)了許多突破物理隔離的方式。近日,以色列本古里安大學(xué)網(wǎng)絡(luò)安全研究中心公布了一種突破物理隔離的新方法,主要利用的是當(dāng)前大多數(shù)計(jì)算機(jī)和服務(wù)器上都有的硬盤燈(HDDLED)。該攻擊方式通過一臺(tái)感染了惡意軟件的計(jì)算機(jī)上的硬盤燈來發(fā)送機(jī)器內(nèi)敏感數(shù)據(jù),然后通過攝像機(jī)、光傳感器等接收信息。

一、攻擊過程

該攻擊過程主要分為惡意軟件植入、數(shù)據(jù)發(fā)送、數(shù)據(jù)接收三個(gè)階段。一是惡意軟件植入。主要通過供應(yīng)鏈攻擊(在目標(biāo)設(shè)備運(yùn)輸過程中安裝惡意軟件)、社會(huì)工程學(xué)攻擊通過心理操縱來誘導(dǎo)攻擊目標(biāo)實(shí)施某種行為,如在公共社交網(wǎng)站上獲得某涉密人員信任,而后誘使其在所在物理隔離網(wǎng)絡(luò)中安裝惡意軟件)等,使目標(biāo)計(jì)算機(jī)、服務(wù)器等感染相應(yīng)的惡意軟件。惡意軟件隨后便可在目標(biāo)計(jì)算機(jī)中

收集敏感信息(如涉密文檔等)。二是數(shù)據(jù)發(fā)送。由于技術(shù)限制,惡意軟件不能通過主板芯片組直接打開硬盤燈,而是通過調(diào)用特定的讀(寫)命令,間接打開硬盤燈,從而利用硬盤燈的打開、關(guān)閉狀態(tài)來分別表示“1”“0”,將竊取到的文件數(shù)據(jù)等以二進(jìn)制形式發(fā)送出去。三是數(shù)據(jù)接收。主要通過內(nèi)部隱蔽攝像頭、惡意入侵人員隨身攜帶的攝像機(jī)、涉密場(chǎng)所遭入侵的監(jiān)控?cái)z像頭等內(nèi)部接收裝置,以及高分辨率遠(yuǎn)程攝像機(jī)、無人機(jī)載攝像機(jī)、光學(xué)傳感器等遠(yuǎn)程接收裝置進(jìn)行數(shù)據(jù)接收。接收距離主要受接收者位置、環(huán)境亮度、硬盤燈光波長等影響,一般大于30米,事實(shí)上,只要接收者在硬盤燈發(fā)送光信號(hào)的可視范圍內(nèi),輔以光學(xué)變焦透鏡等裝置,接收距離甚至可以更遠(yuǎn)。

二、主要特點(diǎn)

該攻擊方式主要具有以下三大特點(diǎn)。一是隱蔽性。對(duì)于其他使用光學(xué)方式(如鍵盤燈和屏幕電源燈)突破物理隔離的方法,由于其異常情況可輕易被觀察到,因此并不隱蔽。在該攻擊方式中,由于硬盤燈在正常工作狀態(tài)(讀/寫文件)下就頻繁閃動(dòng),因此閃動(dòng)時(shí)間和速度的受控變化可能不會(huì)引起特別關(guān)注。此外在高速傳輸情況下,硬盤燈的閃爍對(duì)于人眼來說是不可見的,這使得該竊密通道更加隱蔽。二是便利性。該攻擊方式無需其他任何特殊硬件,只需一個(gè)帶有硬盤燈的機(jī)器,而硬盤燈在當(dāng)今大多數(shù)桌面計(jì)算機(jī)、筆記本電腦和服務(wù)器上都普遍存在。此外,激活硬盤燈通過普通的用戶級(jí)代碼(惡意軟件)即可實(shí)現(xiàn),并不需要改動(dòng)操作系統(tǒng)內(nèi)核。三是高速性。在該攻擊方式中,信息傳輸速率最高時(shí)可達(dá)每秒4000比特,比其他利用光學(xué)方式突破物理隔離技術(shù)的速度至少快10倍,因此可以更快地傳送數(shù)據(jù)。例如,對(duì)于4096比特的加密密鑰傳送,一般可在數(shù)十秒內(nèi)完成。

三、應(yīng)對(duì)措施

針對(duì)上述攻擊方面,建議從以下三個(gè)方面加強(qiáng)防范。一是防止惡意軟件植入。強(qiáng)化計(jì)算機(jī)所在環(huán)境的防護(hù),加強(qiáng)內(nèi)部網(wǎng)絡(luò)設(shè)備供應(yīng)鏈的安全保密管理,同時(shí)開展相應(yīng)突破物理隔離惡意軟件的檢測(cè)技術(shù)研究。二是防止敏感數(shù)據(jù)通過光信號(hào)發(fā)送。適時(shí)斷開硬盤燈與計(jì)算機(jī)的連接,或用黑色磁帶覆蓋硬盤燈。此外,還可引入對(duì)硬盤的隨機(jī)讀寫操作,使得光信號(hào)與隨機(jī)噪聲混合,通過干擾降低攻擊的有效性。三是防止外部光接收設(shè)備竊取信息。在計(jì)算機(jī)所在環(huán)境內(nèi)禁用所有攝像裝置,并采用遮蔽窗戶方式防止外部光探測(cè)器竊取涉密信息。定期檢查場(chǎng)所內(nèi)的監(jiān)控?cái)z像頭,防止其被用作接收信息的工具。

 

(原載于《保密科學(xué)技術(shù)》雜志2017年8月刊)