Fansmitter：利用聲波入侵物理隔離系統

新聞 12-29

物理隔離是指通過物理手段將目標系統和網際網路以及其他一些不安全的網路進行隔離的一種網路安全措施。在一些需要規避敏感或者關鍵信息泄露風險的系統中這種措施經常會被採用比如軍事防禦系統、關鍵基礎設施指揮和控制中心、金融系統等。但即使進行了高度的隔離，近年來一些物理隔離系統被入侵的事件依然屢見不鮮比如Stuxnet、Agent.btz。

最近幾年通過各種物理介質聲波、電磁波、熱量、光波等從物理隔離計算機中竊取數據的可行性已經被研究人員證實。2016年，以色列本古里安大學Negev網路安全研究中心的研究人員找到了使用聲波來從物理隔離計算機中提取數據的方法；2015年以色列特拉維夫大學的安全研究人員結合計算機解密過程中會產生CPU雜訊的研究結論，演示了如何通過分析計算機所發出的無線電波竊取加密密鑰以及破解4096位RSA密碼的方法；2015年Black Hat黑客大會上安全研究人員展示了一種新型的黑客技術「Funtenna」。在Funtenna技術的幫助下，研究人員可以通過聲波來竊取存儲在物理隔離計算機中的數據。

即使入侵物理隔離系統的可行性已被證實，但是從這類系統中竊取數據仍然是一件很有挑戰性的任務，相關技術的原理也非常值得深入研究。本文就今年以色列本古里安大學Negev網路安全中心研究人員提出的利用聲波從物理隔離系統中竊取數據的技術——Fansmitter進行較為深入的解讀。

一、相關工作

近年來各類國際安全會議上發表了各種利用不同類型的帶外隱蔽信道泄露信息的方法，這些方法旨在建立一座通向物理隔離系統的隱形「橋樑」。這些已經被公開的方法大體可以分為以下幾類：利用電磁波隱蔽信道、利用光波隱蔽信道、利用熱量隱蔽信道以及利用聲波隱蔽信道，如下表1所示。

表1 利用不同類型介質作為隱蔽信道泄露信息的方法

利用電磁波作為隱蔽信道傳輸數據可能是最早被研究的方法。Kuhn和Anderson在其早期工作中研究了利用顯卡發出的電磁波來泄露數據的方法。GSMem,Funthenna和Savat技術介紹了攻擊者可以利用電腦主板發出的各種電磁輻射作為泄露數據的隱蔽信道。Loughry和Umphress研究了利用鍵盤LED等發出的光來完成數據竊取。Shaamir等人演示了如何利用遠程激光和掃描儀建立隱蔽信道的方法。BitWhisper技術更是通過熱量來實現信息的傳輸。

在聲波方面，Madhavapeddy等人在研究中討論了使用音頻網路實現數據傳輸的方法該方法只需使用低成本的揚聲器和麥克風就能實現。2013年Hanspach和Goetz擴展了該方法利用揚聲器和麥克風實現了使用靜距離超聲波傳輸數據。

我們可以看到已有的利用聲波泄露數據的方式需要在目標系統上安裝內部或者外部的揚聲器才能實現。這是一個很大的限制因為大多數情況下對安全性要求較高的系統中揚聲器都是被禁止使用的。而本文將要解讀的Fansmitter技術雖然也是基於聲波實現數據傳輸但是卻不需要目標系統上安裝有揚聲器設備。

二、Fansmitter攻擊模型

Fansmitter實驗攻擊模型包含了一個信號發送裝置和信號接收裝置。在Negev實驗室研究人員演示的攻擊場景中信號發送裝置是一台普通的台式計算機模擬物理隔離系統接收裝置是一台放在附近的手機如下圖1所示。在初始階段假設發送裝置和接收裝置均已感染攻擊者寫好的惡意程序。入侵一個高度安全的網路系統是可以實現的比如Stuxnet,Agent.Btz以及一些其它的攻擊事件都證明了讓目標系統物理隔離系統感染惡意程序這種假設是有可能的。而入侵一台移動設備相對來說就更加容易可以通過郵件簡訊惡意app等各種方式實現。因此攻擊模型的假設可以成立。

圖1 一個典型的攻擊場景:一台被感染的物理隔離計算機A和一台位於附件的手機B

被感染計算機上的惡意程序收集敏感信息比如密鑰口令等,經過調製編碼之後控制電腦內部風扇發出特定頻率或者振幅的聲波。附近的安裝有麥克風的移動設備檢測到該聲波並對其進行解調和解碼最後通過簡訊或者Wi-Fi將數據傳遞給攻擊者實現攻擊。

三、Fansmitter利用組件——計算機風扇

CPU,內存和顯卡以及其它一些計算機組件在工作過程中都會產生熱量。為了避免過熱造成的部件失靈和損耗這些組件最好工作在特定的溫度範圍內。所以一般計算機都會安裝各類風扇以促進空氣流通從而防止內部組件過熱。

台式機通常會裝備3到4種風扇下圖2顯示了風扇在機箱內的位置。

圖2 在標準機箱中風扇的位置

PSU(power supply unit電源)風扇圖2A

這個風扇被集成在電源的尾部它被用來排出電源產生的熱量。這種風扇被一個內部控制器管理並且通常情況下不能被監測控制或者通過軟體進行調節。

底座風扇圖2A

這個風扇被安裝在電腦的機箱的側面或者尾部它可以吸進電腦外部的空氣然後從機箱頂部或者尾部排出。

CPU風扇圖2C

這個風扇被安裝在CPU插座上用來降低CPU散熱片的溫度。

GPUcomputer graphic card,顯卡風扇

由於顯卡會產生大量熱量所以顯卡風扇結構一般都是專門設計的。跟CPU風扇一樣GPU風扇被安裝在顯卡散熱器上。

也有一些不太常見的風扇比如硬碟風扇、PCI風扇以及內存插槽風扇等。這些風扇通常可以在伺服器或者一些特殊設備上看到。

基於以上分析Negev實驗室研究人員側重研究CPU風扇和底座風扇因為它們在絕大多數電腦上都有安裝且可以通過惡意程序進行控制。目前已有的大多數主板都配有四線CPU風扇或者底座風扇。下表2列舉四線風扇連接器以及它們的功能。

表2 四線風扇連接器及功能

FAN_TACH可以持續監控風扇轉速。FAN_CONTROL則可以作為輸入信號通過PWM(pulse-widthmodulation脈衝寬度調製)設置並調整風扇速度。所以CPU或者底座風扇的轉速可以手動或者自動調節。在自動調節模式下主板會根據當前溫度自動調節風扇轉速。如果安裝了相應驅動也可以使用BIOS介面或者直接通過應用程序實現對特定風扇轉速的調節。目前針對不同的操作系統已經有很多開源的程序可以實現對風扇轉速的調節比如SpeedFan,MacFan,fancon等。

四、電腦風扇聲波信號

通常使用RPM(revolutions per minute,每分鐘轉速)來衡量電腦風扇的旋轉不同的轉速會發出不同頻率和強度的雜訊。普通的風扇轉速在每分鐘幾百轉到每分鐘幾千轉之間。而不同的轉速則會發出不同頻率或者振幅的雜訊。Negev實驗室的實驗顯示了手機在離目標計算機不同距離情況下接收到的音頻信號。

圖3 手機接收到的CPU風扇發出的音頻信號1米(上)、4米(下)

BPF(blade pass frequency,扇葉通過頻率)則通常用來衡量運行風扇的聲音它的單位是赫茲其計算公式是BFP = n*R/60其中n代表風扇扇葉數R代表風扇轉速。下圖4顯示了7片扇葉風扇在1000RPM情況下的頻譜圖。

圖4 7片扇葉風扇1000RPM頻譜圖BPF大約120Hz左右

下表3顯示了Negev實驗室對7扇葉風扇進行實驗後得出的RPM和BPF之間的對應關係。

表3 7扇葉風扇RPM與BPF對應關係

由上表可以看到電腦風扇發出的雜訊頻率在100到600 Hz,雜訊在高頻範圍內非常明顯為了實現隱蔽的數據竊取可以採用以下三種措施

靈活調整數據竊取時間可以在目標電腦附近沒有使用者時發動攻擊

使用低頻率段傳輸數據使用低頻率段比如140-170Hz調製數據更難被發現

使用較小的頻率變化進行數據傳輸當雜訊頻率變化較小比如100Hz範圍內時也較難被發現

五、數據的調製和解調

為了通過電腦風扇的音頻信號編碼數字信息相應的數據必須先被調製。Fansmitter技術使用兩種調製方案

1 ASKamplitude shift keying,振幅偏移鍵控法

2 FSKfrequency shift keying,頻率偏移鍵控法

這兩種方法分別使用聲波的振幅和頻率來實現對數字信號的調製。比較而言FSK調製更快速並且對環境噪音的抗噪能力更強而ASK則對不同種類的風扇適用性更強。通常在已知目標系統風扇種類的情況下使用FSK調製,而在對目標系統風扇種類不確定的情況下使用ASK調製。下面兩圖分別顯示了Negev研究人員進行ASK調製和FSK調製的結果。

圖5 在60秒內對數字信號101010進行ASK調製風扇轉速在3000RPM和3500RPM之間變化

圖6 在150秒內對數字信號101010進行FSK調製風扇轉速在1000RPM和1600RPM之間變化

六、Fansmitter實驗結果

Fanmitter實驗對CPU風扇進行了評估。實驗使用了一台標準的台式機戴爾OptiPlex 9020,台式機使用英特爾酷睿i7-4790主板和因特爾Q87晶元集。實驗同時使用了一台包含標準麥克風的三星Galaxy S4(I9500)手機。實驗環境中有普通的環境雜訊7台工作站一些網路交換機以及一台運行中的空調。下面幾幅圖顯示了Fansmitter實驗中不同條件下的頻譜圖。