ETHERLED方法:物理隔离系统通过网卡LED泄露数据
+ + + + + + + + + + +
摘 要
物理隔离,是一种保护网络、设备、系统安全的有效技术方法。然而,物理隔离的网络、系统等并不是绝对的安全,攻击者仍然能够渗透进入被隔离网络。近年迅速发展的隐蔽信道攻击技术,就能够突破物理隔离系统屏障,跨越隔离空间从而窃取物理隔离系统中的信息。
+ + + + +
以色列作为网络安全领域技术领先国家,对突破物理隔离系统攻击方法进行了长期研究,内盖夫本古里安大学研究人员Mordechai Guri博士发现的ETHERLED方法,可以利用网卡上的LED指示灯从物理隔离系统中窃取数据。例如:配置在设备(例如,电脑、服务器、打印机、网络摄像头、嵌入式控制器)的网络接口控制器(network interface controller,NIC)上连续闪烁,用来指示设备网络连接状态的LED灯,其发出的光学信号可能存在被攻击者利用、窃取数据的风险。在攻击场景假设攻击者设法通过社会工程、恶意内部人员、或供应链攻击等方式获得了访问目标设备的权限,从而向设备中植入一个恶意软件,该恶意软件负责收集敏感数据,并使用隐蔽通道将这些敏感信息泄露给攻击者。“ETHERLED”方法的原理是:攻击者能够将闪烁的灯光转化为可解码的摩尔斯电码信号,而捕获这些信号仅需要一台摄像机的镜头直接对准物理隔离计算机网卡上的LED灯。这些光信号可以转换成二进制数据来窃取信息。也就是说,攻击者通过以太网LED的闪烁模式或闪烁频率的光信号对私密信息进行编码和调制,从而传输密码、密钥等敏感信息。下图是完整攻击过程的示意图。
ETHERLED攻击示意图 (arxiv.org)
物理隔离系统是指由于安全原因与公共互联网隔离的高度机密或核心环境(如关键基础设施、武器控制单元)中的计算机。然而,这些系统在物理隔离网络中工作,仍然使用网卡。Mordechai Guri发现,如果入侵者用特制的恶意软件进行感染,他们就可以替换网卡驱动程序,新的驱动可以修改LED颜色和闪烁频率以发送编码数据的波。ETHERLED方法可以与其他使用LED作为状态或操作指示灯的外设或硬件一起工作,如路由器、网络连接存储(NAS)设备、打印机、扫描仪和各种其他连接设备。与之前披露的基于光辐射控制键盘和调制解调器中的LED的数据泄露方法相比,ETHERLED是一种更隐蔽的攻击方法,不太可能被发现。
✦+
+
ETHERLED更多细节
网卡通常有两个LED:一个活动LED通常是绿色的,另一个状态LED根据连接速度在绿色和琥珀色之间变化。例如,对于1GB的连接状态LED通常显示为琥珀色,对于100MB的连接状态LED通常显示为绿色,而对于10MB的连接状态LED通常会关闭。这些方法可以用来控制这些LED,包括通过代码作为内核驱动程序运行或在网卡固件中运行。这只在攻击者拥有更高权限的情况下有效,但它也提供了最高级别的控制。
攻击者首先在目标计算机上植入恶意软件,该恶意软件包含网卡固件的修改版本。这可以控制LED闪烁的频率、持续时间和颜色。
代码控制LED指示灯(arxiv.org)
或者,恶意软件可以直接攻击网络接口控制器(NIC)的驱动器,以改变连接状态或调制产生信号所需的LED。
三种潜在的攻击方法(arxiv.org)
研究人员还发现,恶意驱动程序可以利用记录或未记录的硬件功能来篡改以太网控制器的网络连接速度,从而控制链路状态LED,切换LED为绿色、琥珀色或关闭,或者通过启用或禁用以太网接口,导致LED颜色变化和闪烁。
网卡指示灯闪烁传递信号(arxiv.org)
攻击者可以使用多种调制方式传输数据,如开关键控OOK、闪烁频率和颜色调制。使用OOK调制,LED关闭对应着发送0位,LED开启对应着发送1位。如果使用LED的闪烁频率来传递信号,那么以特定频率闪烁表示0位,以不同频率闪烁表示1位。也可以通过控制LED的颜色来进行信号的编码,比如,绿色表示1,琥珀色表示0。
Guri的实验表明,每个数据帧都以“1010”序列开始,以标记包的开始,后面是64位的有效载荷。
信号内容
通过单状态LED进行数据泄露时,产生持续时间在100毫秒到300毫秒之间的莫尔斯码点和破折号,由100毫秒到700毫秒之间的指示灯失效空间分隔。当使用驱动/固件攻击方法时,莫尔斯码的比特率可以增加10倍(10m点,30m破折号,10-70ms空间)。
为了远程捕捉闪烁的LED,也就是传输的信号,攻击者可以使用智能手机摄像头(30米以内)、无人机(50米以内)、被入侵的高清网络摄像头(10米以内)、被入侵的监控摄像头(30米以内),以及望远镜或带有长焦或超变焦镜头的摄像头(100米以上)来获取数据。其中的望远镜可以让攻击者从100米以上的地方捕获到数据。三星Galaxy手机的摄像头最远可在30米的距离上获取数据。
根据使用的攻击方法,通过ETHERLED泄露密码等机密信息所需的时间在1秒到1.5分钟之间,比特币私钥需要2.5秒到4.2分钟,4096位RSA密钥需要42秒到1小时。数据泄露的速度取决于信号的调制方式以及控制LED的方法。如果链路状态控制与开关键控和闪烁频率调制一起使用,只能实现每秒1位的窃取速度,而如果使用驱动程序/固件控制方法,则最大泄露速度会达到每秒100位。
这并不是内盖夫本古里安大学的研究人员首次提出一种从物理隔离网络中秘密窃取数据的方法。内盖夫本古里安大学毗邻以色列“网络星火(CyberSpark)产业园”,该产业园网络安全产业链齐备,不但包括国家网络局研发基地、以色列国防军的8200部队、国家计算机应急响应中心等政府机构,而且拥有思科、EMC、谷歌、微软、IBM、甲骨文、德国电信、洛克希德·马丁等知名公司的网络安全研发中心。作为构成这一系统中的一员,内盖夫本古里安大学在网络安全领域的研究得到了巨大的支持。例如,“网络星火产业园”中的每个企业和该大学至少有一个合作研发的项目,企业中的工程师还可被聘请为大学的教师,这使得内盖夫本古里安大学的网络安全教学和科研能做到紧跟实际、时时更新。
自2014年起,该大学的网络安全研究中心持续开展物理隔离系统攻击方法研究。2014年到2022年间,由该中心主任Mordechai Guri带领的研究团队研发了六大类利用隐蔽信道来突破物理隔离限制的方法,即电磁波、磁场、声音、光学、热量和电力。出于此,曾有媒体甚至将Guri称为物理隔离突破研究的“第一人”。表1分类呈现了近年来Guri团队开展的18种隐蔽通道攻击方法研究情况。
+ + + + + + + + + + +
总 结
类似ETHERLED的隐蔽信道攻击给看似“固若金汤”的物理隔离系统带来了极大的威胁。随着攻击方法的不断改进,攻击实施的成本可能大幅降低,成功率将会越来越高。内盖夫本古里安大学提出的各种攻击方法灵活多变,为我们制定隔离网络系统保护策略和隐蔽信道攻击防范措施提供了有益的参考。
+ + + + +
✦+
+
参考文献
中国保密协会
科学技术分会
长按扫码关注我们
作者:李海洋 郭峰 中国科学院信息工程研究所
责编:郝璐萌
✦+
+
往期精彩文章
TOP5回顾
美国对华科技竞争政策性建议汇总
6G之卫星通信
浅谈计算机键盘电磁泄漏防护
✦+
+
近期精彩
文章回顾
掌静脉识别技术及其产品应用
能源系统数字组件的供应链风险