Bir güvenlik araştırmacısı, çoğu bilgisayarda bulunan seri ATA (SATA) kablolarını radyo sinyalleri aracılığıyla veri gönderen kablosuz bir anten olarak kullanarak hava boşluklu sistemlerden veri çalmanın yeni bir yolunu buldu.
Hava boşluklu sistemler, genel internete bağlı olanlar gibi daha az güvenli ağlardan fiziksel olarak izole edilmesi gereken kritik ortamlarda kullanılır.
Bunlar tipik olarak askeri, hükümet ve nükleer kalkınma programlarının yanı sıra kritik sektörlerdeki (örneğin petrol, gaz, finans, elektrik gücü) endüstriyel kontrol sistemlerinde görülür.
“ŞATAn” olarak adlandırılan saldırı, İsrail’deki Ben-Gurion Üniversitesi Siber Güvenlik Araştırma Laboratuvarları Ar-Ge Başkanı Mordechai Guri tarafından keşfedildi ve teorik olarak bir düşmanın hassas bilgileri çalmasına yardımcı olabilir.
SATA saldırısı
Bir SATAn saldırısının başarılı olması için, bir saldırganın önce hedef hava boşluklu sisteme bulaşması gerekir. Bu kolay bir iş olmasa da, 2010’dan bu yana, en kötü şöhretlisi Sutxnet olmak üzere, fiziksel ilk uzlaşma raporları var.
Hava boşluklu bir ağa yerleştirilen kötü amaçlı yazılım parçası, hassas bilgileri hedefleyebilir ve modüle edip kodlayarak onu sızmaya hazırlayabilir.
Araştırmacı, bilgisayarlardaki SATA kablolarının, belirli karakterlere karşılık gelen 5,9995 ile 5,9996 GHz arasında bir radyo kanalı üzerinden iletebildiğini buldu.
SATA arabirimi, belirli okuma ve yazma işlemleri sırasında radyo sinyalleri yayabilir. SATAn saldırılarında kullanılan kötü amaçlı yazılımlar, çalınan verilerin içeriğini yansıtan çok özel okuma/yazma işlevlerini gerçekleştirmek için meşru yazılım süreçlerini ele geçirebilir.
Araştırma sırasında Guri, hava boşluklu bir sistemden yakındaki bir bilgisayara ‘GİZLİ’ kelimesini iletmek için elektromanyetik sinyaller üretebildi. Alıcının, SATA 3 kablolarından geçerli bir iletimin başlangıcını tanımlaması gerekir.
Araştırmacı teknik bir makalede, “Gerçek bir saldırı senaryosunda, alıcı yakındaki bilgisayarda bir süreç olarak uygulanabilir veya özel bir donanım alıcısına gömülü olabilir” diye açıklıyor.
Saldırı sınırlamaları
Araştırmacı, çeşitli sistemler ve ayarlarla deneyler yaparak, hava boşluklu bilgisayardan alıcıya olan maksimum mesafenin 120 cm’den (3,9 ft) fazla olamayacağını veya bit hata oranının, bilgisayarın bütünlüğünü sağlamak için çok fazla arttığını belirledi. mesaj (%15’in üzerinde).
Verici ile alıcı arasındaki mesafe de veriyi göndermek için gereken süreyi etkiler. Boşluğa bağlı olarak, “0.2 sn, 0.4 sn, 0.6 sn, 0.8 sn, 1.0 sn ve 1.2 sn ile üç bitlik diziler modüle edildi ve alındı.”
Verileri, modülasyon için yeterince güçlü bir sinyal üretmek için minimum süre olarak gösterilen 1 bit/sn bit hızında ilettik.
Ayrıca araştırmacı, sanal makineler veri çevirme okuma/yazma işlemlerini gerçekleştirmek için kötüye kullanıldığında, SATA kablosundaki sinyal kalitesinin önemli ölçüde azaldığını bulmuştur.
Makalede önerilen ilginç bir önlem, meşru uygulamalardan gelen şüpheli okuma/yazma işlemlerini izleyen ve sinyale parazit ekleyen bir SATA bozucudur.
Ancak, sıkışma sinyali oluşturmak için aşırı disk kullanımı, donanım aşınmasını hızlandırır ve bir çalışma zamanı ortamında meşru ve kötü niyetli işlemleri ayırt etmek zor olacaktır.
Mordechai Guri, hava boşluklu ağlardan gizlice veri çalmaya izin veren çeşitli kanalları araştıran iki düzineden fazla projede yer almıştır.
Yıllar boyunca, Guri ve ekibi, izole ağların, sistemlerde bulunan monitörler, hoparlörler, kablolar, CPU gibi bileşenler tarafından üretilen sinyaller (ışık, titreşimler, ses, ısı, manyetik veya elektromanyetik alanlar) yoluyla hassas bilgilerin sızmasına izin verebileceğini gösterdi. , HDD’ler, kameralar, klavyeler.