Търсене
Close this search box.

Нова атака по страничен канал, наречена „RAMBO“ (Radiation of Air-gapped Memory Bus for Offense), генерира електромагнитно излъчване от оперативната памет на устройството, за да изпраща данни от компютри, защитени с въздушна защита.

Системите, защитени от въздуха, които обикновено се използват в критични среди с изключително високи изисквания за сигурност, като например правителства, оръжейни системи и ядрени електроцентрали, са изолирани от обществения интернет и други мрежи, за да се предотвратят заразяването със зловреден софтуер и кражбата на данни.

Въпреки че тези системи не са свързани с по-широка мрежа, те все още могат да бъдат заразени от недобросъвестни служители, които въвеждат зловреден софтуер чрез физически носители (USB устройства) или сложни атаки по веригата за доставки, извършвани от държавни служители.

Зловредният софтуер може да действа незабележимо, за да модулира компонентите на оперативната памет на системата с въздушна връзка по начин, който позволява прехвърлянето на тайни от компютъра към получател наблизо.

Най-новият метод, който попада в тази категория атаки, идва от израелски университетски изследователи, ръководени от Мордехай Гури, опитен експерт в областта на тайните канали за атаки, който преди това е разработил методи за изтичане на данни с помощта на светодиоди на мрежови карти, радиосигнали от USB устройства, SATA кабели и захранващи блокове.

Как работи атаката RAMBO

За да извърши атаката Rambo, нападателят инсталира зловреден софтуер на компютъра с въздушна връзка, за да събере чувствителни данни и да ги подготви за предаване. Той предава данните, като манипулира моделите за достъп до паметта (операции за четене/запис по шината на паметта), за да генерира контролирани електромагнитни емисии от оперативната памет на устройството.

Тези емисии по същество са страничен продукт от бързото превключване на електрическите сигнали (On-Off Keying „OOK“) от злонамерения софтуер в оперативната памет – процес, който не се следи активно от продуктите за сигурност и не може да бъде маркиран или спрян.

Излъчваните данни са кодирани в „1“ и „0“, представени в радиосигналите като „включено“ и „изключено“. Изследователите са избрали използването на манчестърски код, за да подобрят откриването на грешки и да осигурят синхронизация на сигнала, намалявайки вероятността за неправилни интерпретации в края на приемника.

Нападателят може да използва сравнително евтино софтуерно дефинирано радио (SDR) с антена, за да прихване модулираните електромагнитни излъчвания и да ги преобразува обратно в двоична информация.

Изпълнение и ограничения

Атаката RAMBO постига скорост на трансфер на данни до 1000 бита в секунда (bps), което се равнява на 128 байта в секунда или 0,125 KB/s.

При тази скорост ще са необходими около 2  часа и 12 минути, за да се екфилтрира 1 мегабайт данни, така че RAMBO е по-подходяща за кражба на малки количества данни, като текст, натискане на клавиши и малки файлове.

Изследователите са установили, че при тестването на атаката може да се извършва запис на клавиши в реално време. Въпреки това кражбата на парола отнема от 0,1 до 1,28 секунди, на 4096-битов RSA ключ – между 4 и 42 секунди, а на малко изображение – между 25 и 250 секунди, в зависимост от скоростта на предаване.

Бързите предавания са ограничени до максимален обхват от 300 cm (10 фута), като честотата на битовите грешки е 2-4%. Средноскоростните предавания увеличават разстоянието до 450 cm (15 фута) при същата степен на грешка. И накрая, бавните предавания с почти нулева степен на грешки могат да работят надеждно на разстояния до 7 метра (23 фута).

Изследователите са експериментирали и с предавания до 10 000 bps, но са установили, че всичко, което надхвърля 5000 bps, води до много ниско съотношение сигнал/шум за ефективно предаване на данни.

Спиране на RAMBO

Техническият документ, публикуван в Arxiv, предоставя няколко препоръки за смекчаване на атаката RAMBO и подобни атаки на базата на електромагнитни скрити канали, но всички те въвеждат различни режийни разходи.

Препоръките включват стриктни ограничения на зоните за засилване на физическата защита, заглушаване на RAM за прекъсване на скритите канали при източника, външно заглушаване на ЕМ за прекъсване на радиосигналите и Фарадееви заграждения за блокиране на системите с въздушна защита от външно излъчване на ЕМ радиация.

Изследователите са тествали RAMBO срещу чувствителни процеси, работещи във виртуални машини, и са установили, че тя остава ефективна.

Въпреки това, тъй като паметта на хоста е податлива на различни взаимодействия с операционната система на хоста и други виртуални машини, атаките вероятно ще бъдат прекъснати бързо.

 

 

Източник: По материали от Интернет

Подобни публикации

5 октомври 2024

Сривът на киберфирмата на елита от националнaта...

Сривът на IronNet: Някои твърдят, че фирмата се е сринала отчасти з...
5 октомври 2024

Рансъмуерът удря критичната инфраструктура, а р...

Финансовото въздействие на кибератака, насочена към киберфизична си...
4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
3 октомври 2024

MITRE добавя смекчаващи мерки към модела на зап...

Във вторник (в България сряда )MITRE обяви пълната версия на модела...
3 октомври 2024

Пробив с нулев ден в Rackspace Sparks Vendor B...

Корпоративният хост за облачни услуги Rackspace е бил хакнат чрез н...
Бъдете социални
Още по темата
04/10/2024

Използвана уязвимост на Iva...

Тази седмица Ivanti и американската агенция...
03/10/2024

Криптопортфейли, насочени ч...

Потребителите на популярни портфейли за криптовалута...
03/10/2024

Пробив с нулев ден в Racks...

Корпоративният хост за облачни услуги Rackspace...
Последно добавени
05/10/2024

Сривът на киберфирмата на е...

Сривът на IronNet: Някои твърдят, че...
05/10/2024

Рансъмуерът удря критичната...

Финансовото въздействие на кибератака, насочена към...
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!