پژوهش امنیت سایبری جدید نشان میدهد که نفوذگران میتوانند بهسادگی با تغییر روشنایی صفحه نمایش دادههای حساس را از رایانهی کاربران استخراج کنند. در سالهای اخیر، چند پژوهش امنیت سایبری روشهای نوآورانهای برای استخراج دادهی مخفیانه از یک رایانهی air-gapped ایزولهشده بهصورت فیزیکی که نمیتواند بهصورت بیسیم یا بهطور فیزیکی با سایر رایانهها یا دستگاههای شبکه ارتباط برقرار کند، یافته است.
این ایدههای هوشمند به بهرهبرداری از مؤلفههای رایانه مانند روشنایی، صدا، گرما، فرکانسهای رادیویی یا امواج اولتراسونیک متکی هستند و حتی از نوسانات خطوط برق نیز استفاده میکنند. بهعنوان مثال، مهاجمان بالقوه میتوانند زنجیرههای تأمین را برای آلوده کردن یک رایانهی air-gapped خراب کنند، اما همیشه نمیتوانند پشتیبانگیری از اطلاعات را در یک دستگاه هدف انجام دهند.
وقتی صحبت از هدفهای باارزش میشود، این روشهای غیرمعمول که ممکن است برای بسیاری از افراد تئوری و بی فایده به نظر برسد، میتواند نقش مهمی در استخراج دادههای حساس از یک رایانهی آلوده اما air-gapped داشته باشد. رئیس مرکز پژوهش امنیت سایبری در دانشگاه بِن گوریون رژیم صهیونیستی در جدیدترین پژوهش خود یک کانال نوری مخفی جدید ابداع کرده است که مهاجمان با استفاده از آن میتوانند بدون نیاز به اتصال شبکه یا تماس فیزیکی با دستگاهها دادهها را از رایانههای air-gapped به سرقت ببرند.
این کانال مخفی نامرئی است و حتی زمانی که کاربر در حال کار با رایانه است، کار میکند. بدافزار در یک رایانهی آسیبدیده ممکن است منجر به دستیابی به دادههای حساس مانند فایلها، تصاویر، کلیدهای رمزنگاری و گذرواژهها شود و آنها را در روشنایی صفحه نمایش بهصورت قابل رویت برای کاربران مدوله کند.
ایدهی اصلی رمزنگاری و رمزگشایی داده مشابه موارد قبلی است، یعنی بدافزار اطلاعات جمعآوریشده را مانند جریانی از بایتها رمزنگاری میکند و سپس آن را بهعنوان سیگنال «۱» و «۰» مدوله میکند. در این حالت مهاجم از تغییرات کوچک در روشنایی صفحهی اِلسیدی که برای چشم غیرمسلح قابل رویت است، استفاده میکند تا بتواند بهطور مخفیانه اطلاعات باینری را مدوله کند.
در صفحه نمایشهای السیدی هر پیکسل ترکیبی از رنگهای RGB است که رنگ ترکیبی موردنیاز را تولید میکند. در مدولاسیون پیشنهادی، مؤلفهی رنگ RGB هر پیکسل کمی تغییر مییابد. این تغییرات قابل رویت است، زیرا آنها نسبتاً کوچک هستند و تا بازنمایی مجدد صفحه، سریع اتفاق میافتند. علاوهبرآن، تغییرت رنگ کلی تصویر در صفحه نمایش برای کاربر قابل رویت است.
از طرف دیگر مهاجم میتواند با استفاده از ویدئوی صفحه نمایش رایانهی آسیبدیده که توسط یک دوربین نظارتی محلی، دوربین گوشی هوشمند یا یک وبکم گرفته شده است، این جریان داده را جمعآوری کند و سپس با استفاده از روشهای پردازش تصویر اطلاعات استخراجشده را بازسازی کند. پژوهشگران یک رایانهی air-gapped را با بدافزار خاصی آلوده کردند که بافر صفحه نمایش را دریافت میکند تا داده را با تغییر روشنایی بیتمپ مطابق بیت فعلی (۰ یا ۱) در ASK مدوله کند.
این اولین بار نیست که پژوهشگران بِن گوریون با یک روش مخفیانه برای هدف قرار دادن رایانههای air-gapped مواجه میشوند. پژوهشهای قبلی آنها دربارهی نفوذ به دستگاههای air-gap شامل موارد زیر است:
- حملهی PowerHammer برای استخراج داده از رایانههای air-gapped از طریق خطوط برق.
- روش MOSQUITO که با استفاده از آن دو یا چند رایانهی شخصی air-gapped در یک مکان میتوانند بهطور مخفیانه داده را از طریق امواج اولتراسونیک تبادل کنند.
- روش BeatCoin که به مهاجمان اجازه میدهد تا کلیدهای رمزنگاری خصوصی را از کیف پولهای رمزارز air-gapped به سرقت ببرند.
- حملهی aIR-Jumper که اطلاعات حساس را به کمک دوربینهای CCTV مجهز به مادون قرمز که برای دید در شب استفاده میشوند، جمعآوری میکند.
- روشهای MAGNETO و ODINI که از میدانهای مغناطیسی تولیدشده توسط پردازنده بهعنوان یک کانال مخفی بین سیستمهای air-gapped و گوشیهای هوشمند مجاور استفاده میکند.
- حملهی USBee که برای سرقت داده از رایانههای air-gapped، با استفاده از انتقال فرکانس رادیویی از اتصالدهندههای یواِسبی استفاده میشود.
- حملهی DiskFiltration که میتواند با استفاده از سیگنالهای صوتی منتشرشده از دیسک سخت رایانهی air-gapped هدف، دادهها را به سرقت ببرد.
- BitWhisper که به تبادل گرما بین دو سیستم رایانهای متکی است تا بهطور مخفیانه گذرواژهها یا کلیدهای امنیتی را به سرقت ببرد.
- AirHopper که کارت تصویری یک رایانه را به یک فرستندهی FM تبدیل میکند تا فشرده شدن کلیدها را ضبط کند.
- روش Fansmitter که از سر و صدای منتشرشده توسط فن رایانه برای انتقال داده استفاده میکند.
- حملهی GSMem که به فرکانسهای سلولی متکی است.
