保护计算机网络免受恶意攻击的一种方法是将其与互联网断开连接。这种方法称为气隙隔离,在网络和外部恶意攻击者险恶的世界之间建立物理屏障。
但气隙计算机并非完美安全。黑客已经开发出多种方法,利用 USB 驱动器等便携式设备对其进行感染。臭名昭著的 2010 年 Stuxnet 攻击就采用了这种感染方式,注入了能够禁用伊朗核计划中离心机设备的恶意软件。
但是,将恶意软件引入只是挑战的一部分。另一部分是找到一种方法将信息从气隙网络中提取出来。网络安全研究人员研究了各种技术,例如使用计算机键盘上的灯光传输数据,或利用风扇发出的噪音等。
气隙攻击
现在,以色列本古里安大学网络安全研究员 Mordechai Guri 找到了一种新方法——利用计算机内部的 SATA 电缆作为无线天线,通过无线电波广播信息。
SATA 电缆将主板数据总线连接到固态驱动器、光驱或硬盘驱动器等海量存储设备。这些电缆长几厘米,大多数工作频率为 6 Gb/秒。
Guri 的想法是,以一种能够生成附近能够监测 6Ghz 无线电频率的设备可以接收到的无线电信号的方式,对电缆上的信息传输进行调制。“SATA 接口在许多计算机、设备和网络环境中都非常容易被攻击者利用,”他说。
为了测试这个想法,Guri 编写了能够创建这些信号的代码,并将其上传到一台气隙台式电脑。这段代码导致计算机的 SATA 电缆以大约 1 比特/秒的速度广播数据。
然后,他使用一台放置在约一米远的笔记本电脑监测 6Ghz 频段的传输,从非法广播中解码出“SECRET”一词。“我们证明了攻击者可以利用 SATA 电缆作为天线,在 6 GHz 频率范围内传输无线电信号,”Guri 说。
Guri 还表明,该攻击可以从虚拟机内部执行,使其能力大大增强。
预防性对策
他接着概述了防止此类攻击的各种对策。“防止初始渗透是应该采取的第一个预防性措施,”他说。
确保附近没有能够记录信号的设备也是一种明智的措施,目前北约和美国的が安全设施已在使用该措施。
还应该有可能创建监测与 SATA 电缆相关的任何异常活动的程序。另一种选择是监测 6Ghz 频率,寻找意外广播,甚至干扰这些频率。
Guri 没有提及任何此类攻击已在现实世界中使用的证据(但这并不能保证它们没有被使用)。然而,网络安全研究人员经常发布此类新的漏洞,以便可能易受攻击的设施能够迅速采取对策(尽管发布也同时揭示了如何进行此类漏洞利用)。
参考:SATAn: Air-Gap Exfiltration Attack via Radio Signals From SATA Cables : arxiv.org/abs/2207.07413
