Ако сте а Подкаст за гола сигурност слушател (и ако не сте, моля пробвам и Абонирай се ако ви харесва!), може би си спомняте хумористична реплика за атаки от „страничната лента“ и подли трикове за извличане на данни, които експертът от Sophos Честър Вишневски направи в скорошен епизод.
Ние бяхме Говорейки за как да спрем киберпрестъпниците кражба на портфейли за криптовалутаи отбелязах, че скромният размер на файловете на портфейла ги прави не само по -лесни за идентифициране, но и по -бързо измъкване от мрежата, след като са били локализирани.
Честърс шега в този момент беше:
Веднага щом го казахте, умът ми се насочи към тези изследователи в Университет Бен Гурион които винаги извършват някаква странична атака … [for example,] те променят честотата на крушките, за да изтекат 11 байта данни от компютъра. Просто чакам да изтекат биткойн портфейл, пускайки музика през високоговорителите, или нещо подобно!
Е, чакането на Честър може да свърши. (Поне на теория.)
BGU по случая
Мордехай Гури от гореспоменатото Университетът на Бен Гурион в Негев (BGU) в Израел има наскоро публикуван нов документ за „извличане на данни“, описващ неочаквано ефективен начин за измъкване на много малки количества данни от кабелна мрежа, без да се използва някакъв очевиден вид взаимосвързаност.
Този има право ЛАНТЕНА: Екфилтрация на данни от мрежи с въздушен пропуск чрез Ethernet кабели, и това е последната от много публикации на BGU през последните години, занимаващи се с труден проблем в киберсигурността, а именно …
… как да разделим мрежа на две части, работещи на различни нива на сигурност, които въпреки това могат да си сътрудничат и дори да обменят данни, когато е необходимо, но само по строго контролирани и добре контролирани начини. This may interest you : Edge computing will become more and more prominent: Intel MD.
Нарежете кабелите!
Физическото изключване на двете мрежи, така че е необходима човешка намеса за преместване на данни между тях, изглежда като очевидно решение, създавайки пословичната „въздушна пролука“, спомената в заглавието на статията на Гури. On the same subject : PCTEL Launches Compact, Future-Proof Gflex™ Scanning Receiver for 5G Network Testing and Government Applications | Illinois.
Обикновено това означава също забраняване на комуникационни протоколи за „безплатен въздух“, като Bluetooth и Wi-Fi, поне от по-сигурната страна на мрежата, така че всички точки на взаимно свързване наистина изискват някакъв вид физическо взаимодействие.
Можете обаче да разрешите (вероятно ограничени) безжични технологии от по -малко защитената страна на мрежата, стига да не могат да бъдат получени излъчвания от несигурната страна, независимо дали случайно или по проект, от защитената страна и докато съществува изобщо няма откриваеми излъчвания от защитената страна, които биха могли да бъдат уловени от несигурната страна.
По едно време физическите въздушни пролуки, като например включване на мрежов кабел в специален гнездо или използване на внимателно проверено USB устройство в определен USB порт, се считаха за добро решение на този проблем, въпреки че понякога дори базираните на USB въздушни пролуки понякога могат да бъдат нарушени, като всеки, който е изучавал скандален вирус Stuxnet ще знае.
USB се счита за вреден
Stuxnet е програмиран да повреди определено парче промишлено оборудване за контрол, ако някога се окаже, че работи на компютър, който е свързан по правилния начин към правилния вид устройство. Read also : STL launches Accellus – an end-to-end fiber broadband and 5G wireless solution – Technuter.
Най -дълго време никой не можеше да разбере какво е „правилното“ (или погрешно) оборудване, тъй като вирусът не идентифицира хардуера по име, а само по някои произволни характеристики, които трябва да съвпадат.
Пъзелът беше малко като опит да се намери един човек на земята въз основа само на частичен отпечатък и приблизителната им възраст.
В крайна сметка беше намерено устройство, което съответства на „изглежда ли като това, което искаме?“ правило, кодирано в Stuxnet, и се оказа вид промишлена центрофуга (използвана за отделяне на трудни вещества с почти, но не съвсем идентични характеристики, като различни изотопи на уран), за които се знае, че се използват в Иран.
Вероятно можете да екстраполирате останалата част от сагата Stuxnet за себе си, ако вече не сте запознати с нея.
Въздушни пропуски в света след Stuxnet
Но какво да кажем за ексфилтрирането на данни през въздушна пролука в света след Stuxnet, където операторите на мрежи с въздушен пропуск са станали много по-строги относно „граничния контрол“ между двете страни на мрежата?
Какви скрити канали биха могли да се използват, дори ако предлагат само най -скромните скорости на данни?
Как бихте могли да откриете и предотвратите злоупотребата с тези канали, ако те наистина са били експлоатирани от корумпирани вътрешни лица (може би с невинната помощ на несъзнателно кооптирани колеги), ако използваните трикове бяха достатъчно неблагоприятни, за да не предизвикат подозрения на първо място?
Предишното проучване на BGU предупреди за трикове за изтичане на данни с ниска честотна лента, които могат да бъдат организирани с помощта на техники, различни като:
- Превръщане на компютърни кондензатори в ултразвукови „високоговорители“, създаване явно невинни звукови вълни който съвместно работещ компютър може да открие, но човешкото ухо не може да чуе.
- Кодиране на скрити съобщения чрез миниатюрната LED светлина в клавиша Caps Lock, или друго програмируеми светлини на клавиатурата че хората не очакват да бъдат използвани за предаване на повече от един бит донякъде незначителни данни по всяко време.
- Промяна на скоростта на охлаждащия вентилатор на процесора, което в много компютри може да бъде направено програмно или умишлено увеличаване на натоварването на обработката.
- Използване на стеганографски трик, включващ количеството червен оттенък в екрана. Стеганографията е „Изкуство“ на скрити данни: очевидно, цифров фотоапарат може надеждно да открие a 3% промяна в „зачервяването“ на екрана че човешкото око просто ще филтрира и игнорира.
ОБЯСНЕНА СТЕГАНОГРАФИЯ
Оригинално видео тук: https://www.youtube.com/watch?v=q2hD4v8_8-s
Щракнете върху иконата на зъбно колело, за да ускорите възпроизвеждането или да покажете субтитри на живо.
LANtenna на обикновен английски
LANtenna е по-скоро същото, този път злоупотребява с телбода на всяка така наречена защитена мрежа: самите LAN кабели.
С изключен Wi-Fi от менюто по простата причина, че не можете да видите (или лесно да контролирате) къде отива, тъй като това е електромагнитна медия, използваща невидима част от радиочестотния спектър, повечето защитени мрежи разчитат на видими серии от традиционни мрежови кабели и ключове.
В кабелните мрежи, които използват предимно т.нар екранирана усукана двойка кабели като CAT5e, CAT6 и по -високи спецификации, подозрителен конектор може физически да бъде проследен до източника или местоназначението (ако се приеме, разбира се).
Извършването на всеки проводник в кабела от чифт жици, усукани един около друг по дължината им, намалява електромагнитното изтичане и по този начин смущенията, свойство, открито и експлоатирано за първи път в най -ранните дни на телефонната индустрия. Допълнително екраниране около всяка двойка проводници и около целия кабел, плюс по -стегнати усуквания, използващи повече тел, подобряват работата и намаляват още повече разсеяните емисии.
Освен това всяко устройство или сегмент от кабелна мрежа може да бъде бързо, надеждно и видимо изключено чрез изключване на двата края на кабела.
Но колко защитени са тези усукани двойки кабели?
По -важното е, че ако тяхното екраниране не е перфектно, колко голямо и скъпо и очевидно би било оборудването, от което се нуждаете, за да го откриете?
С други думи, ако сътрудник от защитената страна на мрежата може да организира изпращането на невинно изглеждащи данни със скрит смисъл в мрежата …
… колко тайно и безпроблемно бихте могли (а вие може би сте ваш собствен сътрудник, разбира се) да вземете стеганографски кодираните данни с невинно изглеждащо устройство от несигурната страна?
Ако имате нужда от два метра дължина Антена Uda-Yagi за събиране на разсеяните емисии и специализиран хардуер за откриване в случай с размер на един от Звуковите шкафове на Spinal Tap, едва ли ще се измъкнете.
LANtenna на практика
Гури установи, че е в състояние да излъчва кодирани данни чрез LANтена атака, използвайки две различни техники:
- Изпращайте невинни данни, докато превключвате скоростта на мрежата на изпращащата LAN карта. Ако мрежата е под леко натоварване, тогава обръщането на скоростта на LAN между (да речем) 100Mbit/sec и 1Gbit/sec вероятно няма да привлече вниманието, като доведе до забележимо забавяне на работните места в мрежата. Но спектърът на електромагнитни излъчвания варира в зависимост от скоростта на кодиране на LAN картата, а самите тези промени в излъчването могат да се използват за кодиране на данни за откриване от някой, който знае на какво да внимава.
- Изпращайте невинни пакети данни с фиксиран формат във времеви пакети. Guri използва предварително определени UDP пакети, които могат да бъдат излъчвани безвредно, ако никое друго устройство в мрежата не ги чуе, тъй като нежеланите UDP пакети по принцип обикновено се игнорират. Отново електромагнитните емисии от близък мрежов кабел варират по откриваем начин в зависимост от това дали известните „изхвърлящи се“ UDP пакети са част от общия мрежов сигнал или не. Тази техника е малко като да слушате за конкретен мотоциклет с отличителна нотка за отработени газове, преминаваща в определено време сред шума на иначе натоварена магистрала.
Гури откри, че може да открие тези бездомни емисии надеждно на разстояние до три метра, като използва стоков хардуер за „софтуерно радио“, който се предлага под формата на евтини и скромни по размер USB ключове, които лесно се прикриват или прикриват като по-невинни- търси хардуерни устройства.
Първата техника беше много по -надеждна и даваше по -бързи скорости на ексфилтрация, но обикновено изисква root (sysadmin) достъп на компютъра, използван за изтичане на данните.
Превключването на скоростта също е вероятно да бъде забелязано и рутинно регистрирано от хардуера за наблюдение на мрежата, не на последно място, защото мрежовите карти, които продължават да превключват скоростта, предполагат хардуерни проблеми, както и подозрителни от гледна точка на сигурността.
Този трик също е малко вероятно да работи в среда на виртуална машина, тъй като операционната система за гости обикновено работи с виртуална мрежова карта, която просто се преструва, че променя скоростта си, докато физическото взаимодействие със самата мрежа се управлява от хост компютъра, който комбинира целия трафик на виртуалната машина и го изпраща с постоянна скорост.
Така че вторият метод беше по -лесен за използване, дори във виртуални компютри …
… но данните, които Гури успя да постигне, бяха най -малкото скромни.
Говорим само за един бит в секунда (това е около 400 байта на час, или около един филм на хилядолетие), използвайки техниката „невинни пакети данни“, с надежден обхват от 2 м при използване на компютър, от който емисиите са по -силни, или само 1 м при използване на лаптоп.
Но това все още е достатъчно, за да изтече множество типични симетрични криптографски ключове или няколко частни ключа за криптовалута в рамките на един работен ден, така че забележката на Честър в S3 Ep46 на подкаста в крайна сметка може да се е сбъднала.
Какво да правя?
Guri има няколко препоръки за противодействие, от които най -очевидните и най -лесните за изпълнение са:
- Отнасяйте се към несигурната страна на мрежата по -сигурно. Не позволявайте на никого да внася безжични устройства от всякакъв вид, включително мобилни телефони, слушалки, клавиатури или непроверени „хардуерни ключове“ в общата зона за сигурност.
- Подобрете екранирането на кабела. Надграждането на по -старите мрежови кабели до по -нови спецификации, дори ако по -скъпото окабеляване не е строго необходимо, може да помогне. Кабелите CAT8 например са с номинал до 40 GBit/sec и са изградени по много по -високи екраниращи стандарти от CAT5e или CAT6.
- Следете мрежовите интерфейси за неочаквани и нежелани промени в скоростта. Съвременна мрежова карта, която кара скоростта често, трябва да бъде причина за подозрение, дори и само поради съображения за надеждност.
Гури също предполага, че можете да помислите излъчване на собствени сигнали за заглушаване на контранаблюдението в диапазоните на честотната лента, които той наблюдаваше със своите софтуерни радиодонгъл (обикновено 125MHz и повече), и излъчващ рандомизиран фонов UDP трафик от своя страна, за да объркате всеки, който използва техниката за сигнализиране на „невинен пакет данни“.
Последните две мерки за противодействие, разбира се, са специфични за LANtenna атаката, както е описано в статията, така че вариация по темата на Гури може да ги заобиколи.
Приятно ловуване!
(Ако сте защитена зона Blue Teamer, това е чудесно извинение за бюджета да закупите някои софтуерно дефинирани радиоуреди!)
Comments are closed.