近年來,隨著國內外竊密斗爭形勢的日益復雜,物理隔離網(wǎng)絡逐漸成為重要攻擊目標,出現(xiàn)了許多突破物理隔離的方式。近日,以色列本古里安大學網(wǎng)絡安全研究中心公布了一種突破物理隔離的新方法,主要利用的是當前大多數(shù)計算機和服務器上都有的硬盤燈(HDDLED)。該攻擊方式通過一臺感染了惡意軟件的計算機上的硬盤燈來發(fā)送機器內敏感數(shù)據(jù),然后通過攝像機、光傳感器等接收信息。
一、攻擊過程
該攻擊過程主要分為惡意軟件植入、數(shù)據(jù)發(fā)送、數(shù)據(jù)接收三個階段。一是惡意軟件植入。主要通過供應鏈攻擊(在目標設備運輸過程中安裝惡意軟件)、社會工程學攻擊通過心理操縱來誘導攻擊目標實施某種行為,如在公共社交網(wǎng)站上獲得某涉密人員信任,而后誘使其在所在物理隔離網(wǎng)絡中安裝惡意軟件)等,使目標計算機、服務器等感染相應的惡意軟件。惡意軟件隨后便可在目標計算機中
收集敏感信息(如涉密文檔等)。二是數(shù)據(jù)發(fā)送。由于技術限制,惡意軟件不能通過主板芯片組直接打開硬盤燈,而是通過調用特定的讀(寫)命令,間接打開硬盤燈,從而利用硬盤燈的打開、關閉狀態(tài)來分別表示“1”“0”,將竊取到的文件數(shù)據(jù)等以二進制形式發(fā)送出去。三是數(shù)據(jù)接收。主要通過內部隱蔽攝像頭、惡意入侵人員隨身攜帶的攝像機、涉密場所遭入侵的監(jiān)控攝像頭等內部接收裝置,以及高分辨率遠程攝像機、無人機載攝像機、光學傳感器等遠程接收裝置進行數(shù)據(jù)接收。接收距離主要受接收者位置、環(huán)境亮度、硬盤燈光波長等影響,一般大于30米,事實上,只要接收者在硬盤燈發(fā)送光信號的可視范圍內,輔以光學變焦透鏡等裝置,接收距離甚至可以更遠。
二、主要特點
該攻擊方式主要具有以下三大特點。一是隱蔽性。對于其他使用光學方式(如鍵盤燈和屏幕電源燈)突破物理隔離的方法,由于其異常情況可輕易被觀察到,因此并不隱蔽。在該攻擊方式中,由于硬盤燈在正常工作狀態(tài)(讀/寫文件)下就頻繁閃動,因此閃動時間和速度的受控變化可能不會引起特別關注。此外在高速傳輸情況下,硬盤燈的閃爍對于人眼來說是不可見的,這使得該竊密通道更加隱蔽。二是便利性。該攻擊方式無需其他任何特殊硬件,只需一個帶有硬盤燈的機器,而硬盤燈在當今大多數(shù)桌面計算機、筆記本電腦和服務器上都普遍存在。此外,激活硬盤燈通過普通的用戶級代碼(惡意軟件)即可實現(xiàn),并不需要改動操作系統(tǒng)內核。三是高速性。在該攻擊方式中,信息傳輸速率最高時可達每秒4000比特,比其他利用光學方式突破物理隔離技術的速度至少快10倍,因此可以更快地傳送數(shù)據(jù)。例如,對于4096比特的加密密鑰傳送,一般可在數(shù)十秒內完成。
三、應對措施
針對上述攻擊方面,建議從以下三個方面加強防范。一是防止惡意軟件植入。強化計算機所在環(huán)境的防護,加強內部網(wǎng)絡設備供應鏈的安全保密管理,同時開展相應突破物理隔離惡意軟件的檢測技術研究。二是防止敏感數(shù)據(jù)通過光信號發(fā)送。適時斷開硬盤燈與計算機的連接,或用黑色磁帶覆蓋硬盤燈。此外,還可引入對硬盤的隨機讀寫操作,使得光信號與隨機噪聲混合,通過干擾降低攻擊的有效性。三是防止外部光接收設備竊取信息。在計算機所在環(huán)境內禁用所有攝像裝置,并采用遮蔽窗戶方式防止外部光探測器竊取涉密信息。定期檢查場所內的監(jiān)控攝像頭,防止其被用作接收信息的工具。
(原載于《保密科學技術》雜志2017年8月刊)