İsrailli araştırmacı Mordechai Guri, ağ kartlarındaki LED göstergelerini kullanarak hava boşluklu sistemlerden veri sızdırmak için yeni bir yöntem keşfetti. ‘ETHERLED’ olarak adlandırılan yöntem, yanıp sönen ışıkları bir saldırgan tarafından çözülebilen Mors kodu sinyallerine dönüştürür.
Sinyalleri yakalamak, hava boşluklu bilgisayarın kartındaki LED ışıklarına doğrudan görüş hattına sahip bir kamera gerektirir. Bunlar bilgi çalmak için ikili verilere çevrilebilir.
Hava boşluklu sistemler, güvenlik nedenleriyle genel internetten izole edilmiş, genellikle çok hassas ortamlarda (örn. kritik altyapı, silah kontrol birimleri) bulunan bilgisayarlardır.
Ancak, bu sistemler hava boşluklu ağlarda çalışır ve yine de bir ağ kartı kullanır. Mordechai Guri, bir davetsiz misafir onlara özel hazırlanmış kötü amaçlı yazılım bulaştırırsa, kart sürücüsünü LED rengini ve yanıp sönme sıklığını değiştirerek kodlanmış veri dalgaları gönderen bir sürümle değiştirebilirler.
ETHERLED yöntemi, yönlendiriciler, ağa bağlı depolama (NAS) cihazları, yazıcılar, tarayıcılar ve diğer çeşitli bağlı cihazlar gibi durum veya işlem göstergeleri olarak LED’leri kullanan diğer çevre birimleri veya donanımlarla çalışabilir.
LED’lerin kontrolünü alan optik yayılıma dayalı daha önce açıklanan veri sızdırma yöntemleriyle karşılaştırıldığında klavyeler ve modemler, ETERLİ daha gizli bir yaklaşımdır ve şüphe uyandırma olasılığı daha düşüktür.
ETERLED ayrıntılar
Saldırı, ağ kartı için ürün yazılımının değiştirilmiş bir sürümünü içeren hedef bilgisayara kötü amaçlı yazılım yerleştirmekle başlar. Bu, LED’in yanıp sönme sıklığı, süresi ve renginin kontrolünün ele alınmasını sağlar.
Alternatif olarak, kötü amaçlı yazılım, bağlantı durumunu değiştirmek veya sinyalleri oluşturmak için gereken LED’leri modüle etmek için ağ arabirim denetleyicisi (NIC) için doğrudan sürücüye saldırabilir.
Araştırmacı, kötü niyetli sürücünün, ağ bağlantı hızlarıyla uğraşmak ve Ethernet arabirimini etkinleştirmek veya devre dışı bırakmak için belgelenmiş veya belgelenmemiş donanım işlevselliğinden yararlanarak ışık yanıp sönmelerine ve renk değişikliklerine neden olabileceğini buldu.
Guri’nin testleri, her bir veri çerçevesinin paketin başlangıcını işaretlemek için bir ‘1010’ dizisi ile başladığını ve ardından 64 bitlik bir yükün geldiğini gösteriyor.
Tek durum LED’leri aracılığıyla veri sızması için, 100 ms ve 700 ms arasındaki gösterge devre dışı bırakma boşluklarıyla ayrılmış, 100 ms ile 300 ms arasında süren Mors kodu noktaları ve tireler oluşturuldu.
Mors kodunun bit hızı, sürücü/bellenim saldırı yöntemi kullanılırken on kata kadar (10m nokta, 30m tire ve 10-70ms boşluk) artırılabilir.
Tehdit aktörleri, sinyalleri uzaktan yakalamak için akıllı telefon kameralarından (30 metreye kadar), insansız hava araçlarından (50 metreye kadar), saldırıya uğramış web kameralarından (10m), saldırıya uğramış güvenlik kameralarından (30m) ve telefoto veya süper zoom lensli teleskoplardan veya kameralardan her şeyi kullanabilir. (100 metreden fazla).
Şifre gibi sırların ETHERLED aracılığıyla sızdırılması için gereken süre, kullanılan saldırı yöntemine bağlı olarak 1 saniye ile 1,5 dakika arasında, özel Bitcoin anahtarları için 2,5 saniye ile 4,2 dakika arasında ve 4096 bit RSA anahtarları için 42 saniye ile bir saat arasında değişmektedir.
Diğer sızma kanalları
Mordechai ayrıca ‘ hakkında bir makale yayınladı.GAIROSKOP‘, yakındaki (6 metreye kadar) bir akıllı telefonun jiroskop sensörü tarafından yakalanan, hedef sistemde rezonans frekanslarının üretilmesine dayanan hava boşluklu sistemlere yönelik bir saldırı.
Temmuz ayında aynı araştırmacı, ‘Şeytan’ saldırısıAnten olarak bilgisayarların içinde SATA kablolarını kullanan ve yakındaki (1,2 metreye kadar) dizüstü bilgisayarlar tarafından yakalanabilen veri taşıyan elektromanyetik dalgalar üreten .
Dr. Mordechai Guri’nin hava boşluğu gizli kanal yöntemlerinin tam koleksiyonu şurada bulunabilir: özel bir bölüm Negev web sitesinin Ben-Gurion Üniversitesi’nde.