Air Gap 實體隔離遭到破解!研究人員將 RAM 變成 Wi-Fi 網卡竊取機密資料
以色列大學研究人員公佈一項研究,展示一種把電腦的記憶體 (RAM) 變成快閃式的無線訊號發射器,可把實體隔離 (air gap)、拔除 Wi-Fi 網卡的電腦的敏感資料傳出去。
發明這項方法的以色列本古里安 (Ben-Gurion) 大學研發部門主任 Mordechai Guri 將之稱為 AIR-FI。
過去近 10 年來 Guri 教授已經主導了多項將進入實體隔離環境的電腦中竊取資訊的嶄新手法研究。這類手法研究人員稱為「資料外洩暗門 (covert data exfiltration channel)」,一般人被這類手法所害的機率不高,研究人員只是藉此提醒管理員,即使電腦位於封閉網路,還是有可能被竊走資料。
所謂的實體隔離 (air gap) 是指只連上本地網路,但無法連上網際網路的電腦,通常是政府、軍隊或企業為了存放高敏感度的資料,例如機密檔案或智財而設置。
AIR-FI:電腦讀心術
AIR-FI 手法的原理,是任何電子元件在電流通過時都會產生電磁波。由於 Wi-Fi 訊號是一種無線電波,無線電波是一種電磁波,因此 Guri 認為被攻擊者植入在氣隙式系統的惡意程式可以控制 RAM 卡內的電流產生和 WI-Fi 訊號頻譜(2,400 GHz)頻率一致的電磁波。
Guri 的研究報告「AIR-FI: Generating Covert Wi-Fi Signals from Air-Gapped Computers」中展示,只要抓對時間對電腦 RAM 進行讀寫,就能使這塊卡的記憶匯流排發射出與微弱 Wi-Fi 訊號一致的電磁波。
之後可以在氣隙式電腦鄰近,放一台任何有 Wi-Fi 天線的裝置來接收這個訊號,像是手機、筆電、IoT 裝置、智慧型手錶等等。
讀取速度可達 100bps
Guri 表示他測試過好幾款不同去除 Wi-Fi 網卡的氣隙式電腦,曾經成功以高達 100b/s 的速度將資料傳到幾公尺以外的裝置上。
Guri 指出,在他發展出幾十種「資料外洩暗門」的手法中,AIR-FI 是最容易實作的一種,因為攻擊者在發動攻擊前無需取得管理員權限。
AIR-FI 可以從常見的使用者空間 (user-space) 行程發動。這讓駭客可以在任何一種 OS 或在 VM 中發動攻擊。此外,大部份現代的 RAM 可以發出 2,400GHz 的訊號,老舊一點的 RAM 也可以超頻達到想要的結果。
Guri 建議企業應採取防範措施來保護實體隔離中的電腦,像是部署訊號干擾,防止實體隔離網路所在實體環境發出 Wi-Fi 訊號。
來源:ZDNet