İsrailli bir araştırmacı olan Mordechai Guri, ağ kartlarına monte edilen LED göstergelerini kullanarak hava boşluklu sistemlerden veri sızdırma olasılığını keşfettiği sonucuna vardı.
Yönteme ‘ETHERLED’ adı verilir ve yanıp sönen LED’leri herhangi bir saldırganın ışıkların kodunu çözmek için kullanabileceği Mors kodu sinyallerine dönüştürmenin bir biçimini kullanır.
Saldırı Modeli
Hava boşluklu bir bilgisayarın kartı, sinyalleri yakalamak için kullanılabilecek LED ışıklarına doğrudan bir görüş hattı ile monte edilecek bir kamera gerektirir. Bunların bir sonucu olarak, bu verilerin ikili verilere çevrilmesi yoluyla bilgi çalınabilir.
Ağ arabirim kartları, bilgisayarların bir ağ üzerinden birbirleriyle iletişim kurmasını sağlayan bilgisayar bileşenleridir. Kullanıcı bir ağa bağlandığında ve veri etkinliği gerçekleştiğinde, ağ konektörüne entegre edilen LED’ler yalnızca ağın durumu hakkında uyarı verir.
NIC LED’lerini ETHERLED ile kontrol etmeye çalışan bir davetsiz misafir, hedef ortamı ihlal etmeli ve davetsiz misafirin bunu yapmasına izin veren kötü amaçlı kod yerleştirmelidir.
Saldırının sonraki aşamasında, saldırgan veri toplamaya ve onu sızdırmaya başlayacaktır. Bu aşamada hassas bilgileri iletmek için gizli bir optik kanal kullanılır. Bunu gerçekleştirmek için ağ kartındaki durum LED göstergesi kullanılır.
ETHERLED Eylemde
Aşağıda videoda ETHERLED’i çalışırken görebilirsiniz:-
Optik sinyal algılama işleminin son aşaması, optik sinyalleri almak için belirli bir alana yerleştirilen gizli bir kamerayı içerir. Bu senaryoda kullanılan güvenlik kamerasının güvenlik açığı bulunan bir cihaz veya akıllı telefon kamerası olması mümkündür.
Saldırı tarafından sızdırılabilecek çeşitli bilgi türleri vardır: –
- Şifreler
- RSA şifreleme anahtarları
- tuş vuruşları
- Metin içeriği
Bu kötü amaçlı yazılım, NIC için sürücüye saldırarak doğrudan NIC’nin bağlantı durumunu değiştirebilir veya sinyalleri oluşturmak için gereken LED’leri değiştirebilir.
Tehdit aktörü tarafından istismar edilebilecek çeşitli donanım özellikleri vardır. Sonuç olarak, tehdit aktörü hızı değiştirir ve Ethernet arayüzünü değiştirir, bu da ışığın yanıp sönmesine ve ışığın renginde değişikliklere neden olur.
Tek durumlu LED’ler aracılığıyla veri sızması için 100 milisaniye ile 300 milisaniye arasında değişen noktalara ve kısa çizgilere karşılık gelen bir Mors kodu deseni oluşturuldu.
Bir karşı önlem olarak, hassas bölgelere kamera ve video kayıt cihazlarının kurulmaması önerilir. Sadece bu değil, durum LED’lerini kapatmak için siyah bant bile kullanılabilir.
Güvenli Azure AD Koşullu Erişimi – Ücretsiz Teknik Belgeyi İndirin