Uç Nokta Güvenliği, Donanım / Çip Düzeyinde Güvenlik
RAM Tabanlı Radyo Sinyali Saldırısı Saldırganların Verileri Sızdırmasına İzin Veriyor
Prajeet Nair (@prajeetskonuşuyor) •
10 Eylül 2024
Yeni bir yan kanal saldırısı, hava boşluklu bilgisayarlardaki rastgele erişim belleği tarafından yayılan radyo sinyallerini istismar ederek, son derece güvenli ağlar için yeni bir tehdit oluşturuyor.
Ayrıca bakınız: Windows 10 Desteğinin Sonuna Doğru Sorunsuz Bir Yolculuk Sağlayın
Negev’deki Ben-Gurion Üniversitesi’nden araştırmacılar, saldırganların RAM tarafından üretilen radyo frekanslarını kullanarak hava boşluklu sistemlerden veri sızdırmalarına olanak tanıyan RAMBO (RAM Tabanlı Radyo Sinyalleri saldırısı) adı verilen yeni bir teknik tanıttı.
Hava boşluklu ağlar, kablolu veya kablosuz iletişim kanalları bulunmayan, internetten fiziksel olarak izole edilmiş ağlardır ve bu da onları askeri tesisler ve kritik altyapılar gibi hassas ortamlarda yaygın hale getirir.
Önde gelen araştırmacılardan Mordechai Guri, yeni yayımladığı araştırmasında, bu ortamların bile karmaşık saldırılara karşı savunmasız olduğunu ortaya koydu.
Guri, “Saldırganlar bu sistemlerin içindeki donanımı bir antene dönüştürebilir,” dedi. “Bu, veri sızıntısı kavramını yeni bir seviyeye taşıyor. Artık yalnızca dosyalardan veya parolalardan bahsetmiyoruz – bilgisayarın belleğinin gizli bir iletişim cihazı olarak hareket etmesinden bahsediyoruz.”
Guri ve ekibi, bir bilgisayarın bellek veri yolundan geçen elektrik akımlarını manipüle etmek için bir yöntem geliştirdiler ve doğru ekipmana sahip bir saldırgan tarafından yakalanıp çözülebilen elektromanyetik sinyaller ürettiler. Yayılımlar ikili verileri temsil edecek şekilde modüle edilebilir ve bu da hava boşluklu sistem içindeki kötü amaçlı yazılımın şifreleme anahtarları, biyometrik veriler veya hatta tüm dosyalar gibi hassas bilgileri ağ dışındaki uzak bir alıcıya iletmesine olanak tanır.
Guri, saldırının birkaç aşamada gerçekleştirildiğini söyledi. İlk olarak, hava boşluklu ağın, genellikle enfekte bir USB sürücü veya içeriden gelen tehdit gibi fiziksel yollarla tehlikeye atılması gerekir. Kötü amaçlı yazılım tanıtıldığında, hedef makineyi enfekte ederek belleğe erişim sağlar.
Kötü amaçlı yazılım buradan, RAM’in elektriksel aktivitesini manipüle ederek radyo frekans sinyalleri üretir. Sinyal daha sonra bir saldırgan tarafından yazılım tanımlı bir radyo alıcısı ve tehlikeye atılan makinenin belirli bir menziline yerleştirilen basit bir anten kullanılarak kesilebilir.
RAMBO saldırısının en önemli yeniliği, bu gizli sinyalleri üretmek için RAM’in kullanılmasıdır; bu, tespit edilmesi zor bir yöntemdir. Merkezi işlem birimini belleğe bağlayan RAM veri yolu, sürekli olarak veri aktarır ve elektromanyetik girişim oluşturan elektrik sinyalleri üretir. Saldırgan, bu elektriksel aktiviteyi dikkatlice kontrol ederek yayılan sinyallerde veriyi kodlayabilir.
Araştırmacılar saniyede 1.000 bit’e kadar bir hızda veri iletebildiler, bu da hassas bilgileri nispeten hızlı bir şekilde sızdırmaya yeter. Bu, bir sinyalin varlığının veya yokluğunun ikili verileri temsil ettiği açık-kapalı anahtarlama adı verilen bir modülasyon tekniği kullanılarak yapılır.
RAMBO ile saldırganların artık hava boşluklu ağlardan veri çıkarmak için USB sürücüler gibi geleneksel yöntemlere güvenmesine gerek kalmıyor. Hedef makine çalıştığı sürece, bir saldırgan RAM’i tarafından üretilen radyo sinyalleri aracılığıyla potansiyel olarak bilgi sızdırabilir.
Guri, “Hassas hükümet veya kurumsal verilerin RAM emisyonları yoluyla dışarı sızdırıldığı bir senaryoyu hayal edin. Bu artık varsayımsal bir tehdit değil. Bu gerçekleşiyor ve kuruluşların hazırlık yapması gerekiyor” dedi.
RAMBO saldırısı önemli bir tehdit oluştururken, Guri’nin araştırması olası karşı önlemleri de içeriyor. Riski azaltmanın en etkili yollarından biri, hassas makineleri Faraday kalkanıyla örtmektir.
Bu, bilgisayarı radyo sinyallerinin kaçmasını engelleyen metal bir kasaya yerleştirmeyi içerir. Diğer karşı önlemler arasında hava boşluklu makinelere fiziksel erişimi kısıtlamak, USB bağlantı noktalarını devre dışı bırakmak ve şüpheli etkinlik için bellek kullanımını izlemek yer alır.
“Faraday kalkanı pahalı olabilir ve tüm ortamlar için pratik bir çözüm değildir. Kuruluşların risklerini değerlendirmeleri ve uygun koruma seviyesine karar vermeleri gerekir,” dedi Guri.