Air Gap實體隔離遭到破解!研究人員將RAM變成Wi-Fi網卡竊取機密資料
以色列大學研究人員公佈一項研究,展示一種把電腦的記憶體(RAM)變成快閃式的無線訊號發射器,可把實體隔離(air gap)、拔除Wi-Fi網卡的電腦的敏感資料傳出去。
發明這項方法的以色列本古里安(Ben-Gurion)大學研發部門主任Mordechai Guri將之稱為AIR-FI。
過去近10年來Guri教授已經主導了多項將進入實體隔離環境的電腦中竊取資訊的嶄新手法研究。這類手法研究人員稱為「資料外洩暗門(covert data exfiltration channel)」,一般人被這類手法所害的機率不高,研究人員只是藉此提醒管理員,即使電腦位於封閉網路,還是有可能被竊走資料。
所謂的實體隔離(air gap)是指只連上本地網路,但無法連上網際網路的電腦,通常是政府、軍隊或企業為了存放高敏感度的資料,例如機密檔案或智財而設置。
AIR-FI:電腦讀心術
AIR-FI手法的原理,是任何電子元件在電流通過時都會產生電磁波。由於Wi-Fi訊號是一種無線電波,無線電波是一種電磁波,因此Guri認為被攻擊者植入在氣隙式系統的惡意程式可以控制RAM卡內的電流產生和WI-Fi訊號頻譜(2,400 GHz)頻率一致的電磁波。
Guri的研究報告「AIR-FI: Generating Covert Wi-Fi Signals from Air-Gapped Computers」中展示,只要抓對時間對電腦RAM進行讀寫,就能使這塊卡的記憶匯流排發射出與微弱Wi-Fi訊號一致的電磁波。
之後可以在氣隙式電腦鄰近,放一台任何有Wi-Fi天線的裝置來接收這個訊號,像是手機、筆電、IoT裝置、智慧型手錶等等。
讀取速度可達100bps
Guri表示他測試過好幾款不同去除Wi-Fi網卡的氣隙式電腦,曾經成功以高達100b/s的速度將資料傳到幾公尺以外的裝置上。
Guri指出,在他發展出幾十種「資料外洩暗門」的手法中,AIR-FI是最容易實作的一種,因為攻擊者在發動攻擊前無需取得管理員權限。
AIR-FI可以從常見的使用者空間(user-space)行程發動。這讓駭客可以在任何一種OS或在VM中發動攻擊。此外,大部份現代的RAM可以發出2,400GHz的訊號,老舊一點的RAM也可以超頻達到想要的結果。
Guri建議企業應採取防範措施來保護實體隔離中的電腦,像是部署訊號干擾,防止實體隔離網路所在實體環境發出Wi-Fi訊號。
來源:ZDNet