Через несколько часов после наступления темноты небольшой квадрокоптер поднялся в воздух с паркинга Университета Ben-Gurion в Израиле. Спустя пару минут он подлетел к стоящему рядом офису и навел встроенную видеокамеру на цель – настольный ПК, который помигивал световыми индикаторами в глубине помещения. Несомненно, что мигание миниатюрных индикаторов, свидетельствующих о работе жесткого диска, и присутствующих практически на каждом ПК, вряд ли вызовут у кого-либо подозрения в офисе. На самом же деле, LED-индикатор безмолвно передавал важную информацию через оптический канал на видеокамеру дрона.

Описанная выше процедура наглядно продемонстрировала новые потенциальные возможности для шпионажа. Фактически группа исследователей в лаборатории кибербезопасности университета Ben-Gurion показала метод взлома киберзащиты, известной как «air gap». Суть такой защиты в том, чтобы физически изолировать вычислительную систему от интернета, поскольку именно через сеть ее могут взломать хакеры.

Но если атакующий все же инфицирует одну из таких защищенных систем, например с помощью инсайдера, который внедрит зловредный код через USB или SD-карту — вышеуказанная технология обеспечит новый способ для быстрого извлечения секретной информации из защищенной машины. Световые импульсы LED-индикатора жесткого диска способны передавать важные данные любому шпиону на линии прямой видимости через видеокамеру, подвешенную, скажем, на парящем рядом с окном дроном. Также есть возможность съема информации посредством видеокамеры с телескопическим объективом, установленным в рядом стоящем здании.

По результатам исследования оказалось, что LED-индикатор жесткого диска может генерировать до 6 тысяч миганий в секунду. Это позволяет передавать данные со скоростью 2 МБ/с на достаточно большие расстояния.

Атака на изолированные системы

Под термином «air gap» в области информационной безопасности подразумевают некие технологии с непроницаемой защитой. Так, логично предположить, что хакеры не смогут взломать устройства, которые не подключены к интернету или другими системами, соединенными с интернетом. Однако вредоносное ПО типа Stuxnet и Agent.btz, инфицировавшее многие критически важные системы несколько лет назад, показало, что защита класса air gap не является абсолютно надежной. Дело в том, что даже изолированные системы требуют обновления ПО и установки новых продуктов, что открывает к ним физический доступ для хакеров. И если такая система уже инфицирована, то исследователи показали, каким образом можно «сливать» с нее информацию даже при отсутствии сетевого соединения. Притом здесь может использоваться множество технологий: от электромагнитных излучений до акустических и тепловых сигналов.

Однако техника использования светодиодов не настолько ограничена в диапазоне действия, как другие системы, например, передающие электромагнитные сигналы или ультразвуковой «шум» с встроенного динамика. И в сравнении с другими технологиями оптической передачи данных, например теми, что используют компьютерные экраны или индикатор клавиатуры, LED-индикатор жесткого диска может помигивать, даже если компьютер находится в спящем режиме. 

Быстро и незаметно

Исследование показало, что камера обычного смартфона может принимать не более 60 битов в секунду по причине низкой скорости смены кадров при видеозаписи, в то время как камерa GoPro может считывать до 120 битов в секунду. Вместе с тем, фотодиодный датчик Siemens намного лучше приспособлен к приему высокочастотного сигнала и может максимально считывать до 4000 битов в секунду. Вредоносное ПО, разработанное исследователями, способно заставить мигать светодиод настолько быстро, что это вообще не будет заметно для человеческого глаза.

Чтобы избежать проникновения в системы защиты уровня air gap, эксперты рекомендуют размещать критически важные компьютерные системы в защищенных помещения вдали от окон, либо наклеивать специальную матовую пленку на стекла, которая будет «размывать» световой сигнал. Еще один способ – установить специальное ПО на компьютер, который будет время от времени случайным образом обращаться к диску и генерировать «шум», тем самым блокируя любую попытку передачи данных через компьютерный светодиод.

Впрочем, самая простая контрмера от подобных атак – заклеить светодиодный индикатор жесткого диска на компьютере. И если еще недавно заклеенная пленкой веб-камера на ноутбуке считалась свидетельством паранойи, то теперь кусок черной пленки на светодиодном индикаторе жесткого диска станет реальным признаком пользователя, которому мерещатся дроны-шпионы за каждым окном.

По материалам Wired.