Ученые смогли украсть данные с физически изолированного ПК, отслеживая яркость экрана

Ученые смогли украсть данные с физически изолированного ПК, отслеживая яркость экрана

Новая техника основана на отслеживании невидимых глазу небольших изменений в яркости ЖК-экрана.

Специалисты израильского Университета имени Бен Гуриона изобрели новый метод хищения данных с инфицированных, но физически изолированных компьютеров, не требующий подключения к сети или физического доступа к устройству. Как пояснили исследователи, новая техника основана на отслеживании невидимых глазу небольших изменений в яркости ЖК-экрана.

Для этой цели они создали скрытый оптический канал, который может использоваться даже в том случае, если пользователь работает за компьютером. Метод работает следующим образом: вредоносное ПО на скомпрометированном компьютере извлекает важные данные (пароли, файлы, изображения, ключи шифрования и т. д.), кодирует их, а затем модулирует информацию в виде сигналов «0» и «1». Далее атакующий использует незаметные глазу изменения в яркости экрана для модуляции двоичной информации в виде подобному морзе кода.

«В ЖК-экранах каждый пиксель представляет собой комбинацию цветов RGB, которые производят требуемый составной цвет. В предложенной модуляции цветовой компонент RGB каждого пикселя немного изменяется», – поясняют авторы исследования.

Данные изменения незаметны для пользователя, однако злоумышленник может отслеживать этот поток данных, используя видеозапись экрана скомпрометированного компьютера, сделанную при помощи местной камеры наблюдения, камеры смартфона или web-камеры, а затем воссоздать извлеченную информацию, используя техники обработки изображений.

Работа нового метода продемонстрирована в видео ниже.

Подписывайтесь на каналы “SecurityLab” в Telegram и Яндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Эксперты показали извлечение данных с изолированного ПК через изменение яркости экрана

Xakep #252. Чемоданчик хакера

Специалисты из израильского Университета имени Бен-Гуриона представили новый метод извлечения данных с машин, физически изолированных от любых сетей и потенциально опасной периферии. Такие компьютеры нередко встречаются в правительственных системах и корпоративных сетях, на них хранятся секретные документы, а также закрытая и конфиденциальная информация.

Атака экспертов получила название BRIGHTNESS («Яркость»). Нужно отметить, что способ исследователей, как обычно, решает лишь вопрос хищения данных, но нужно понимать, что перед этим атакующему понадобится заразить изолированную машину малварью.

Работает атака следующим образом. Проникшая на машину малварь собирает данные, которые необходимо похитить, а когда приходит время «сливать» их, изменяет настройки монитора для изменения уровня яркости экрана. Эти перепады яркости представляют собой последовательность нулей и единиц, то есть двоичный код, и позволяют постепенно передать нужные данные, по одному биту. Злоумышленнику достаточно записать мерцание экрана, а позже проанализировать видео и восстановить переданный файл.

Протестировав BRIGHTNESS на нескольких конфигурациях, исследователи добились наилучших результатов, изменяя яркость пикселей красного цвета примерно на 3%. Столь незначительные изменения практически невозможно заметить невооруженным глазом, но современные камеры (в том числе веб-камеры, камеры наблюдения, а также камеры в смартфонах и ноутбуках) могут зафиксировать их без проблем.

Конечно, основной минус данной атаки, это скорость передачи данных. Так, по результатам тестов, максимальная скорость передачи данных составила всего 5-10 бит/с, а это наихудший результат среди всех экзотических способов извлечения информации с изолированных машин, что изобретали исследователи (см. список в конце). Фактически, атака BRIGHTNESS может быть полезна разве что для кражи небольшого ключа шифрования, но передать таким способом архив размером 1 Гб определено не получится.

Исследовательская отмечают, что самый простой способ защиты от подобных атак — нанесение на экраны мониторов поляризационной пленки.

Стоит упомянуть и о других разработках специалистов из Университета имени Бен-Гуриона. Вот только некоторых из них:

• USBee: превращает почти любой USB-девайс в RF-трасмиттер для передачи данных с защищенного ПК;
• DiskFiltration: перехватывает информацию посредством записи звуков, которые издает жесткий диск компьютера во время работы компьютера;
• AirHopper: использует FM-приемник в мобильном телефоне, чтобы анализировать электромагнитное излучение, исходящее от видеокарты компьютера, и превращает его в данные;
• Fansmitter: регулирует обороты кулера на зараженной машине, вследствие чего тональность работы кулера изменяется, ее можно прослушивать и записывать, извлекая данные;
• GSMem: передаст данные с зараженного ПК на любой, даже самый старый кнопочный телефон, используя GSM-частоты;
• BitWhisper: использует термодатчики и колебания тепловой энергии;
• Безымянная атака, задействующая для передачи информации планшетные сканеры и «умные» лампочки;
• HVACKer и aIR-Jumper: похищение данных при помощи камер видеонаблюдения, которые оснащены IR LED (инфракрасными светодиодами), а также использование в качества «мостика» к изолированным сетям систем отопления, вентиляции и кондиционирования;
• MOSQUITO: извлечение данных предлагается осуществлять с помощью обычных наушников или колонок;
• PowerHammer: для извлечения данных предлагается использовать обычные кабели питания.
• CTRL-ALT-LED: для извлечения информации используются диоды Caps Lock, Num Lock и Scroll Lock.

Учёные научились извлекать данные с физически изолированных компьютеров

Израильские учёные описали и продемонстрировали новый способ кражи данных с физически изолированных компьютеров. Метод специалистов задействует настройки яркости LCD-дисплеев.

По словам представивших новую технику экспертов, в настройки яркости можно внести небольшие изменения, которые не распознает человеческий глаз. А вот специальный алгоритм сможет вычленить эти нюансы из видеопотока.

Статья учёных описывает новый метод кражи данных, однако изначально они предупреждают, что пользователям нечего опасаться — вряд ли киберпреступники будут пользоваться столь изощрёнными способами.

Разработанный вид атаки получил имя BRIGHTNESS, он создавался специально для физически изолированных компьютеров, которые не подключены к Сети. Подобные устройства, как правило, можно встретить в государственных учреждениях, где хранятся секретные документы.

Особо одарённые хакеры могут, конечно, заразить такие компьютеры через подключённый USB-накопитель, однако похитить данные с физически изолированного компьютера куда сложнее.

И здесь включились израильские учёные, которые якобы нашли способ извлечь данные с заражённых изолированных устройств.

Сам алгоритм выглядит приблизительно так:

1. Хакеры заражают изолированную систему.
2. Вредонос собирает все данные, которые необходимо похитить.
3. Вредонос изменяет настройки яркости дисплея.
4. Настройки регулируются таким образом, чтобы соответствовать бинарному шаблону 0/1, благодаря которому предаётся файл — один бит за раз.
5. Далее идёт запись экрана заражённого компьютера.
6. Видео анализируется, а файл собирается воедино за счёт анализа разных показателей яркости экрана.

На опубликованном специалистами видео показан сам процесс:

Читайте также

Новую реальность можно создать с использованием СКРД Diamond ACS – этот продукт позволяет с одного рабочего места управлять Аккордами-АМДЗ (СДЗ уровня платы расширения) и Аккордами-MKT (СДЗ уровня BIOS).

Системы, построенные единообразно, состоящие из однотипных СВТ, одинаково защищенных, постепенно переходят из жизни в сказки, а управлять системами через «единое окно» хочется все больше.

Спрос рождает предложение даже в самых сложных сегментах действительности, и вот, вышла новая версия средства контроля и разграничения доступа (СКРД) Diamond ACS, в которой реализована глубокая интеграция с СДЗ семейства Аккорд.

Результатом интеграции стала возможность с одного рабочего места управлять всеми базовыми функциями Аккордов на подконтрольных объектах (то есть на тех СВТ, которыми управляет Diamond ACS), причем независимо от того, Аккорды-АМДЗ или Аккорды-MKT установлены на этих подконтрольных объектах. На любой из рабочих станций теперь можно удаленно заводить и редактировать пользователей в СДЗ, устанавливать или менять им идентификаторы и пароли, блокировать, удалять, просматривать данные о них, а также журналы событий, и, что крайне важно, управлять контролем целостности.

Управление контролем целостности через Diamond ACS включает в себя:

1. Настройку и просмотр списков контроля целостности в Аккордах (важно иметь в виду, что списки, созданные локально, при использовании этой возможности будет уже нельзя применять, они будут сбрасываться, так как приоритетны настройки, заданные централизованно).
2. Пересчет контрольный сумм и запись этого факта в журнал.
3. Просмотр журнала.

Для наглядности несколько скриншотов. Вот так выглядит просмотр настроек пользователя:

А вот так – просмотр списка пользователей:

Так – создание пользователя и постановка на контроль:

А так – просмотр журналов:

Приобрести продукт можно как одновременно с СДЗ, так и отдельно – в ОКБ САПР или у его партнеров.

Ученые смогли украсть данные с физически изолированного ПК

Современные технологии научили смартфоны измерять пульс человека, но они же позволяют прочитать информацию, отслеживая пульсацию яркости экрана. Эксперты группы компаний Angara рассказали, как считать данные с изолированного компьютера.

Использование визуальных пульсаций значительно распространилось к настоящему времени. Так, например, вы можете корректно измерить свой пульс через камеру телефона без дополнительного оборудования. Для этого достаточно специализированного ПО и не нужен доступ к кровеносным каналам, хотя для человеческого глаза такие колебания незаметны.

Специалисты израильского Университета имени Бен Гуриона сообщили, что смогли воспроизвести кражу цифровых данных с помощью ритмичных изменений яркости экрана, наблюдаемых оптически. Для этого применили визуальную модификацию пульсации — незначительное изменение одного из трех компонент RGB, незаметные глазу пользователя (кстати, самым эффективным оказался красный цвет). Далее, через модуляцию сигнала его переслали. Для считывания такого информационного потока достаточно любого устройства видеонаблюдения в зоне доступности визуального сигнала.

Утечки через оптический канал известны миру информационной безопасности давно. Transient Electromagnetic Pulse Emanation Standard (TEMPEST) — мировое название такого типа канала утечки, в России его называют побочными электромагнитными излучениями и наводками (ПЭМИН). Это процесс перехвата секретной информации путем приема паразитного излучения композитного сигнала монитора, электромагнитного и высокочастотного излучения.

Метод кражи информации теоретически известен ученым с конца 60-х годов. А в 1985 году он был воспроизведен ученым Ван Эйком с помощью ПК и телевизионной антенны. Технология получило развитие в виде Soft Tempest — скрытой передачи данных по каналу побочных электромагнитных излучений с помощью программных средств. Это разновидность компьютерной стеганографии, когда сокрытие полезного сообщения производится в файлах мультимедиа. Данный канал утечки сложно обнаружить в совокупности с трудным детектированием вирусного ПО, так как вирус работает в автономном режиме, не соединяясь с командным центром или другими ресурсами.

Меры противодействия ПЭМИН описываются документами ФСТЭК по угрозам утечки по каналам побочных электромагнитных излучений и наводок. Это, в частности, пассивное экранирование устройств, генераторы шумов, фильтрация высокочастотной компоненты при отрисовке шрифтов.

Анализ канала ПЭМИН производится в рамках аудита информационных систем на выполнение соответствующих им требований ФСТЭК и актуален для информационных систем, обрабатывающих государственную тайну.

Эксперты показали извлечение данных с изолированного ПК через изменение яркости экрана

Добавлено в закладки: 0

Специалисты из израильского Университета имени Бен-Гуриона представили новый метод извлечения данных с машин, физически изолированных от любых сетей и потенциально опасной периферии. Такие компьютеры нередко встречаются в правительственных системах и корпоративных сетях, на них хранятся секретные документы, а также закрытая и конфиденциальная информация.

Атака экспертов получила название BRIGHTNESS («Яркость»). Нужно отметить, что способ исследователей, как обычно, решает лишь вопрос хищения данных, но нужно понимать, что перед этим атакующему понадобится заразить изолированную машину малварью.

Работает атака следующим образом. Проникшая на машину малварь собирает данные, которые необходимо похитить, а когда приходит время «сливать» их, изменяет настройки монитора для изменения уровня яркости экрана. Эти перепады яркости представляют собой последовательность нулей и единиц, то есть двоичный код, и позволяют постепенно передать нужные данные, по одному биту. Злоумышленнику достаточно записать мерцание экрана, а позже проанализировать видео и восстановить переданный файл.

Протестировав BRIGHTNESS на нескольких конфигурациях, исследователи добились наилучших результатов, изменяя яркость пикселей красного цвета примерно на 3%. Столь незначительные изменения практически невозможно заметить невооруженным глазом, но современные камеры (в том числе веб-камеры, камеры наблюдения, а также камеры в смартфонах и ноутбуках) могут зафиксировать их без проблем.

Конечно, основной минус данной атаки, это скорость передачи данных. Так, по результатам тестов, максимальная скорость передачи данных составила всего 5-10 бит/с, а это наихудший результат среди всех экзотических способов извлечения информации с изолированных машин, что изобретали исследователи (см. список в конце). Фактически, атака BRIGHTNESS может быть полезна разве что для кражи небольшого ключа шифрования, но передать таким способом архив размером 1 Гб определено не получится.

Исследовательская отмечают, что самый простой способ защиты от подобных атак — нанесение на экраны мониторов поляризационной пленки.

Стоит упомянуть и о других разработках специалистов из Университета имени Бен-Гуриона. Вот только некоторых из них:

• USBee : превращает почти любой USB-девайс в RF-трасмиттер для передачи данных с защищенного ПК;
• DiskFiltration : перехватывает информацию посредством записи звуков, которые издает жесткий диск компьютера во время работы компьютера;
• AirHopper : использует FM-приемник в мобильном телефоне, чтобы анализировать электромагнитное излучение, исходящее от видеокарты компьютера, и превращает его в данные;
• Fansmitter : регулирует обороты кулера на зараженной машине, вследствие чего тональность работы кулера изменяется, ее можно прослушивать и записывать, извлекая данные;
• GSMem : передаст данные с зараженного ПК на любой, даже самый старый кнопочный телефон, используя GSM-частоты;
• BitWhisper : использует термодатчики и колебания тепловой энергии;
• Безымянная атака , задействующая для передачи информации планшетные сканеры и «умные» лампочки;
• HVACKer и aIR-Jumper : похищение данных при помощи камер видеонаблюдения, которые оснащены IR LED (инфракрасными светодиодами), а также использование в качества «мостика» к изолированным сетям систем отопления, вентиляции и кондиционирования;
• MOSQUITO : извлечение данных предлагается осуществлять с помощью обычных наушников или колонок;
• PowerHammer : для извлечения данных предлагается использовать обычные кабели питания.
• CTRL-ALT-LED : для извлечения информации используются диоды Caps Lock, Num Lock и Scroll Lock.

Ученые смогли украсть данные с физически изолированного ПК, отслеживая яркость экрана

Ученые смогли украсть данные с физически изолированного ПК, отслеживая яркость экрана

08:56 / 6 Февраля, 2020 2020-02-06T09:56:06+03:00

Новая техника основана на отслеживании невидимых глазу небольших изменений в яркости ЖК-экрана.

Специалисты израильского Университета имени Бен Гуриона изобрели новый метод хищения данных с инфицированных, но физически изолированных компьютеров, не требующий подключения к сети или физического доступа к устройству. Как пояснили исследователи, новая техника основана на отслеживании невидимых глазу небольших изменений в яркости ЖК-экрана.

Для этой цели они создали скрытый оптический канал, который может использоваться даже в том случае, если пользователь работает за компьютером. Метод работает следующим образом: вредоносное ПО на скомпрометированном компьютере извлекает важные данные (пароли, файлы, изображения, ключи шифрования и т. д.), кодирует их, а затем модулирует информацию в виде сигналов «0» и «1». Далее атакующий использует незаметные глазу изменения в яркости экрана для модуляции двоичной информации в виде подобному морзе кода.

«В ЖК-экранах каждый пиксель представляет собой комбинацию цветов RGB, которые производят требуемый составной цвет. В предложенной модуляции цветовой компонент RGB каждого пикселя немного изменяется», — поясняют авторы исследования.

Данные изменения незаметны для пользователя, однако злоумышленник может отслеживать этот поток данных, используя видеозапись экрана скомпрометированного компьютера, сделанную при помощи местной камеры наблюдения, камеры смартфона или web-камеры, а затем воссоздать извлеченную информацию, используя техники обработки изображений.

Работа нового метода продемонстрирована в видео ниже.

Подписывайтесь на каналы «SecurityLab» в Telegram и Яндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.