ЭКСФИЛЬТРАЦИЯ ДАННЫХ ПО СЕТИ ПИТАНИЯ

АННОТАЦИЯ

Одним из важнейших направлений обеспечения безопасности предприятия является защита информации, обрабатываемой на компьютерах.

В настоящее время в связи с бурным развитием информационных технологий особое значение приобретает разработка принципиально новых методов доступа к данным вычислительных систем, даже при их изоляции от информационной сети, что значительно повышает вероятность несанкционированного доступа.

Представлены результаты экспериментального исследования передачи данных по цепи питания посредством изменения загрузки процессора. Приведены варианты реализации программной и аппаратной частей канала передачи. Определена достижимая скорость передачи информации в зависимости от вида вычислительного устройства.

Введение

Съём данных с изолированной электронной вычислительной машины, которая не имеет подключения к локальной или глобальной сети (air-gapped), представляет трудную, но вполне решаемую задачу. За последние десять лет разработано большое количество способов такой эксфильтрации данных:

• запись электромагнитного излучения видеокарты и различных элементов на материнской плате [4], [5], [10], [1];
• диагностирование нажатий клавиш по звуку;
• съём данных по оптическому [6] и термальному [2] каналам;
• передача аудиосигнала через динамики в слышимом и неслышимом диапазонах частот [11], [3], [7];
• радиопередача с монитора на AM-радиоприёмник [9];

и другие, которые называют SCA (side-channel attacks) — атаки по сторонним (или побочным) каналам.

Вариантом такой атаки является способ скрытой передачи данных по линиям электропитания под названием «Силовой Молот» (Power Hammer), который был разработан в 2018 году группой исследователей из израильского Университета Бен-Гуриона [8].

В этой связи актуальным становится вопрос практического исследования метода скрытой передачи информации по цепям питания.

Метод Power Hammer

Метод Power Hammer заключается в следующем. Атакуемый компьютер находится в защищенной зоне и не имеет сетевых подключений. Поэтому заражение вредоносной программой производится методами социальной инженерии, например, через съемный носитель. Программа сканирует накопители в поисках нужной информации и передает ее по цепи питания, которая выходит за пределы защищенной зоны и доступна злоумышленнику.

Рисунок 1. Схема атаки по методу Power Hammer

Передача производится путем изменения потребления энергии компьютером. В фоновом режиме загрузка процессора составляет единицы процентов, а программа загружает процессор на 100%, что приводит к увеличению энергопотребления.

При питании от сети напряжением 220В, повышение потребления на 1 Вт изменяет ток в сети на 4,5 мА, что легко фиксируется современными приборами.

Описание эксперимента

Экспериментальная проверка проводилась для достижения следующих целей:

• исследование возможности технической реализации эксфильтрации данных по цепям питания;
• исследование характеристик создаваемого канала связи.

Для достижения поставленных целей в соответствии с Рис.1 была собрана экспериментальная установка (Рис.2), состоящая из бесконтактного датчика тока, предварительного усилителя и компьютера «злоумышленника», на котором запускалась программа обработки сигнала и ведения статистики ошибок.

Для атакуемого компьютера была написана программа управления загрузкой процессора.

Съем информационного сигнала производился бесконтактно (Рис.3), с использованием трансформатора тока (а) с расщепленным сердечником (б)

Выходная обмотка трансформатора подключалась к предварительному усилителю и далее к аудиовходу компьютера (DellLatitude E7450, Windows 10 64-bit). Обработка сигнала и анализ результатов проводились с использованием программного пакета MathWorks MATLAB.

Рисунок 2. Экспериментальная установка (бесконтактный датчик тока, предварительный усилитель и компьютер «злоумышленника»)

Рисунок 3. Бесконтактный датчик на основе трансформатора тока

Результаты эксперимента

В ходе эксперимента проводилась передача контрольного файла и последующее определение количества ошибок при передаче. В качестве атакуемого компьютера использовалась вычислительная техника с процессорами разной производительности и различным качеством исполнения блока питания. Программная часть позволяла изменять скорость передачи данных.

Результаты эксперимента представлены в таблице 1.

Таблица 1.

Результаты эксперимента

Полученные результаты эксперимента показывают, что с использованием Power Hammer c настольных компьютеров и серверов за приемлемое время можно передать значительный объем информации, такой как сертификаты, данные кейлогинга, ключи шифрования, изображения, документы; с IoT устройства можно слить небольшие объемы данных, таких как пароли, токены учетных данных, ключи шифрования и так далее.

Выводы

1. Эксфильтрация данных по цепям питания имеет сравнительно простую как программную, так и аппаратную реализацию.

2. Скорость передачи информации зависит от максимально потребляемой процессором мощности и уровня его средней загрузки.

3. Низкая скорость передачи не позволяет снимать большие объемы информации, однако полученные данные, могут быть критическими – ключи шифрования, пароли, номера счетов и т.д.

4. Возможность эксфильтрации данных даже с изолированных компьютеров должна учитываться службой безопасности при разработке мероприятий по защите информационной системы.

Список литературы:

1. Guri M., Kachlon A., Hasson O., Kedma G., Mirsky Y. and Elovici Y., «GSMem: Data Exfiltration from Air-Gapped Computers over GSM Frequencies,» Washington, D.C., 2015.
2. Guri M., Monitz M., Mirski Y. and Elovici Y., «BitWhisper: Covert Signaling Channel between Air-Gapped Computers using Thermal Manipulations» in Computer Security Foundations Symposium (CSF), IEEE, 2015.
3. Hanspach M. and Goetz M., «On Covert Acoustical Mesh Networks in Air», Journal of Communications, vol. 8, 2013.
4. Kuhn M. G. and Anderson R. J., «Soft Tempest: Hidden data transmission using electromagnetic emanations», Information hiding, Springer-Verlag, 1998, pp. 124-142.
5. Kuhn M. G., «Compromising emanations: Eavesdropping risks of computer displays», University of Cambridge, Computer Laboratory, 2003.
6. Loughry J. and Umphress A. D., «Information leakage from optical emanations», ACM Transactions on Information and System Security (TISSEC), vol. 5, no. 3, pp. 262-289, 2002.
7. Madhavapeddy A., Sharp R., Scott D. and Tse A., «Audio networking: the forgotten wireless technology», Pervasive Computing, IEEE, vol. 4, no. 3, 2008.
8. PowerHammer: Exfiltrating Data from Air-Gapped Computers through Power Lines. [Электронный ресурс]. - Режим доступа: https://arxiv.org/pdf/1804.04014.pdf (дата обращения 20.10.2019)
9. Thiele E., «Tempest for Eliza», 2001. [Электронный ресурс]. - Режим доступа: www.erikyyy.de/tempest (дата обращения 10.10.2019)
10. Vuagnoux M. and Pasini S., «Compromising Electromagnetic Emanations of Wired and Wireless Keyboards» USENIX security symposium, 2009.
11. V. T. M. t. C. A.-G. S. f. P. N. Attack, «Eunchong Lee; Hyunsoo Kim; Ji Won Yoon», Information Security Applications, vol. 9503, pp. 187-199, 2015.