Eksfiltracja danych dźwiękiem… monitora – kolejny atak typu side-channel

Ataki “bocznego kanału” (ang. side-channel) wykorzystują nieoczywiste poszlaki do eksploitacji systemu. Czytelnikom znane są pewnie metody ataków wykorzystujące pomiary zużycia prądu procesorów, czasu odpowiedzi aplikacji czy też wykonania poszczególnych niskopoziomowych operacji (np. kryptograficznych). Nieszablonowe techniki ataków typu side-channel opisywaliśmy już nie raz na sekuraku (polecamy ostatni artykuł o Yubikeyach).

Tym razem badacze z Ben Gurion University zaprezentowali atak, nazwany PIXHELL, wykorzystujący dźwięk do eksfiltracji danych z systemów air-gaped czyli odłączonych (np. ze względów bezpieczeństwa) od sieci. Można stwierdzić, że systemy wysokiego ryzyka, zapewne nie muszą wykorzystywać głośników, a mitygacją tego problemu jest po prostu polityka zabraniająca wykorzystywania zbędnych systemów nagłośnienia. I to byłoby rozwiązaniem problemu, gdyby nie to, że wykorzystywany jest dźwięk emitowany przez cewki znajdujące się… w monitorach LCD.

To nie pierwszy atak bocznego kanału wykorzystujący “wizualne” elementy wyjścia. Parę lat temu zaprezentowano ciekawą technikę pozwalającą na radiowe podsłuchiwanie kabli HDMI. Tym razem jednak, wykorzystywane jest znane od lat zjawisko emitowania dźwięku przez cewki, w momencie przepływu prądu. Co więcej, dokładnie ten problem najprawdopodobniej ma rozwiązanie. Co więcej już kiedyś powstała webaplikacja obrazująca to zjawisko (uwaga – link nie jest przeznaczony dla osób z epilepsją!) – zwana Screen Tunes. 

Atak nie jest w 100% “zdalny”, to znaczy, że atakowany system musi zostać zainfekowany oprogramowaniem, które będzie sterowało emitowanymi dźwiękami. Wymagania ataku są znaczne – w pobliżu urządzenia musi znajdować się mikrofon, monitor musi być włączony. Sama transmisja danych nie należy do najszybszych. Poza tym,  interakcje operatora komputera (wprowadzenie “losowych” zmian w wyświetlanych wzorcach na ekranie) podczas pracy mogą wprowadzać dodatkowe zakłócenia w przekazywanym sygnale. Oczywiście ten problem można obejść przez analizę tego czy komputer jest używany. Badacze wskazują, że złośliwy kod wykorzystujący to zjawisko, może zostać dostarczony do systemów np. przez atak na łańcuch dostaw, co powoduje, że jego prawdopodobieństwo wystąpienia w systemach wysokiego ryzyka jest większe.

Zaprezentowano wideo pokazujące działanie ataku w praktyce.

Atak zdecydowanie nie należy do “bardzo akademickich”, czyli można uznać za prawdopodobne jego zastosowanie w praktyce (przy czym jego skomplikowanie oraz sprzyjające warunki są znaczne – w porównaniu z innymi atakami, np. insider threat). Należy jednak pamiętać, że większość systemów o szczególnym znaczeniu będzie wykorzystywało też inne metody zabezpieczeń takie jak dźwiękoszczelna architektura, zapobieganie przechodzeniu transmisji elektromagnetycznych z i do systemu. 

Z proponowanych metod zapobiegających tego typu atakom trzeba wymienić przede wszystkim wszelkiego rodzaju sposoby na wykrywanie powtarzających się, niestandardowych wzorów na ekranach (zwłaszcza nieużywanych systemów), kontrolę urządzeń, które mogą być wniesione przez pracowników, ograniczenie dostępu dla osób postronnych (co raczej wynika ze specyfiki systemów, które mogą być celem) oraz analizę pasma w poszukiwaniu dziwnych transmisji elektromagnetycznych oraz dźwiękowych. Administratorzy takich systemów mają więc jeszcze jeden aspekt, o którym będą musieli pamiętać…

~fc