大家好,我是零日情报局。
最近,黑客科技摇篮般的以色列高校,又研究出了一种让电源发声泄露数据的新型恶意软件。
从以色列盖夫本古里安大学的研究报告来看,这种让电源说话的恶意软件,会通过启动和停止CPU工作负载,影响电源的开关频率,从而让电源中的变压器和电容器发出声音信号。
单纯从声音来判断,受攻击电源发出的声音与风扇噪声无异。不同的是,风扇是真噪音,而恶意软件操控电源发出的声音,却是可以泄露主机数据的特殊声音。
这种特殊的“噪音”,一旦被声波接收设备捕获,稍加提取处理,就能复原成原始信息,也就是目标电脑设备上的高敏感数据。
听起来不可思议?其实从理论上来看,并不难理解。大家都知道只要是变化的电流就一定会有对应变化的电磁场,而恶意软件就是将电磁变化转为音频,以便窃取数据。
业内一般将这种基于电流的信息捕获,称为电流通电磁泄漏。不同的是以色列高校研发团队,给这种电磁泄露赋予了更多的特质。
首先,它不需要任何特殊提权。通常意义上来说,恶意软件多以获取权限为入侵基础,而这种利用电源电流的恶意软件,并不需要任何特殊的系统权限、访问硬件资源或是root权限,大大降低了恶意软件攻击过程中被安全软件发现的可能性。
其次,这种恶意软件是专门针对GAP(物理隔离网闸)环境研发的场景定制工具。所谓物理隔离网闸,是当今已知安全性最高的网络安全设备,代表着更安全的非网络环境信息交换。
总结来看,这种电源攻击术就是在没有WiFi、没有网络、没有蓝牙的高保密信息环境,不被发现的窃取敏感数据。
这里,零日要先科普一下。网闸最早出现在美国、以色列的军方体系,核心就是为了解决涉密网络与公共网络连接的数据安全问题。我国在2000年左右,也已开始使用GAP(物理隔离网闸),目前已在政府、金融、交通、能源等行业广泛应用。
网闸的出现是为了安全,此类恶意软件的频繁出现自然意味着新的安全隐患。过去几年时间里,以色列先后研发了使用风扇振动、散热量、硬盘驱动器LED、红外摄像头、磁场、电源线、路由器LED、扫描仪、屏幕亮度、USB设备、硬盘驱动器、风扇噪音等一系列手段的数据窃取技术。此前,零日给大家分享的 屏幕亮度窃密术(https://mp.weixin.qq.com/s/elgFYhwxH0RrYoMQZDvvoQ) 就是其中之一。
目前,研发高校将这些基于电磁、声、热、电力电缆、光学隐蔽通道利用,从非联网计算机系统中窃取数据的技术,统称为“POWER-SUPPLaY”,可见已成体系规模化。
零日反思
办法总比问题多。面对以色列的新招数,其实也并非无从应对。物理上隔绝移动电子设备进入敏感区;技术上,增设硬件信号检测器和干扰器,提防此类攻击,也都能起到一定效果。网络安全,日防夜防,总不会错的。
零日情报局作品
微信公众号:lingriqingbaoju
参考资料:
[1] arXiv《电源:将电源转换成扬声器,从隔离网闸中泄漏数据》