استخراج داده از شبکه‌ای ایزوله‌شده

۱۳۹۹/۱۰/۲۰امنیت اطلاعات

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ ژاسک لیپکوفسکیِ محقق در کنگره بین‌المللی آشوب[1] سال گذشته نتایج تحقیقات خود را که استخراج داده از شبکه‌ای ایزوله‌شده[2] توسط تابش الکترومغناطیس پس‌زمینه را شامل می‌شد ارائه داد. چنین ارائه‌ای شاید در نوع خود جدیدترین باشد اما بی‌شک تنها مورد نبوده است: ما مرتباً شاهد کشف متودهای جدید استخراج داده از شبکه‌ها و کامپیوترهایی که خارج از شبکه‌ی شکاف هوا[3] قرار دارند هستیم و این البته بسیار نگران‌کننده است.

هر سیم می‌تواند حکم یک آنتن را داشته باشد و در تئوری، مهاجمینی که به شبکه‌ای ایزوله‌شده نفوذ و کد خود را اجرا می‌کنند می‌توانند از چنین آنتنی برای انتقال داده‌ها به جایی دیگر استفاده کنند- فقط باید تابش الکترومغناطیس را با نرم‌افزار ترکیب کنند. لیپکوفسکی تصمیم گرفت امتحان کند و ببیند آیا امکان دارد با استفاده از شبکه‌های معمولیِ اترنت بشود چنین داده‌هایی را انتقال داد یا خیر. 

این محقق عموماً در آزمایشات خود از Raspberry Pi 4 مدل B استفاده کرده بود اما خودش می‌گوید مطمئن است این نتایج را می‌شود روی سایر دستگاه‌های متصل به اترنت یا دست‌کم دستگاه‌های جاسازی‌شده نیز پیاده کرد. او برای انتقال داده از کد مورس [4] استفاده کرد. شاید این متود، کارامدترین نباشد اما پیاده‌سازی‌اش بسیار راحت است: هر رادیو آماتوری[5] می‌تواند سیگنال را با رادیو دریافت کرده و با گوش دادن به آن، پیام را رمزگشایی کند. همین باعث می‌شود تا کد Morse به گزینه‌ی خوبی برای نمایش آسیب‌پذیری‌ مربوطه که نامش را Etherify گذاشته‌اند تبدیل شود.

آزمایش شماره 1: مدولاسیون فرکانس[6]

کنترل‌کننده‌های Modern Ethernet از MII[7] استفاده می‌کنند. بسته به پهنای باند، MII در فرکانس‌های مختلف انتقال داده را فراهم می‌کند: 2.5 مگاهرتز در 10 مگابایت در ثانیه، 25 مگاهرتز در 100 مگابایت در ثانیه و 125 مگاهرتز در 1 گیگابایت در ثانیه.  در عین حال، دستگاه‌های شبکه این امکان را می‌دهند تا پهنای باند سوئیچ شود و فرکانس مکاتبات تغییر کند. فرکانس‌های انتقالِ داده -که تابش‌های مختلف الکترومغناطیس از سیم تولید می‌کنند- «کلید ابزارهایی» هستند که می‌توانند برای مدولاسیون فرکانس به کار روند. یک اسکریپت ساده (که از تداخل 10 مگابایت بر ثانیه به عنوان 0 و از تداخل 100 مگابایت بر ثانیه به عنوان 1 استفاده می‌کند) می‌تواند برای انتقال داده در یک سرعت مشخص، کنتلرِ شبکه بسازد و درست بر همین اساس است که نقاط و خصوص کد Morse تولید می‌شود. دریافت‌کننده رادیویی سپس می‌تواند براحتی تا سقف 100 متر را دریافت کند.

آزمایش شماره 2: انتقال داده

سرعت سوئیچ انتقال داده تنها راه مدولاسیون سیگنال است. در روشی دیگر نیز از سایر واریانس‌ها در تابش پس‌زمینه -ناشی از تجهیزات شبکه‌ی در حال اجرا- استفاده می‌شود؛ برای مثال بدافزاری روی یک کامپیوتر ایزوله‌شده ممکن است از ابزار استاندارد شبکه مخصوص تأیید یکپارچگی کانکشن برای بارگذاری داده در کانال استفاده کند. وقفه‌ها و ازسرگیری‌های انتقال از 30 متر آنطرف‌تر قابل شنیدن خواهند بود.

آزمایش شماره 3: نیازی به سیم ندارید

آزمایش سوم برنامه‌ریزی‌نشده بود؛ اما نتایج هنوز هم چشم‌گیر و جذاب است. طی اولین تست، لیپکوفسکی فراموش کرد کابل را به دستگاه انتقال بزند اما همچنان قادر بود از فاصله 50 متری تغییر سرعت انتقال داده‌ی کنترلر را بشنود. این بدان‌معناست که به طور کلی مادامیکه دستگاه، کنتلر شبکه دارد (صرف‌نظر از اینکه آیا به شبکه وصل است یا خیر) این داده‌ را می‌شود از دستگاهی ایزوله‌شده انتقال داد. اکثر مادربوردهای مدرن به کنتلر اترنت مجهزند.

آزمایشات بیشتر

متود انتقال داده‌ با نام Air-Fi را نیز به طور کلی می‌شود روی دستگاه‌های اداری (لپ‌تاپ‌ها، روترها) پیاده‌سازی کرد اما هر یک میزان اثربخشی‌شان متفاوت است. برای مثال، کنترلرهای شبکه‌ لپ‌تاپی که لیپکوفسکی برای امتحان کردن و کپی روی آزمایش اولیه‌اش استفاده کرد، چند ثانیه بعد از هر تغییر در نرخ سرعت انتقال داده کانکشنی را برقرار کردند. همین باعث شد تا به طور قابل ملاحظه‌‌ای استفاده از کد مورس، سرعت انتقال داده را پایین بیاورد. ماکیسمم فاصله تا تجهیزات نیز قویاً به مدل هر دستگاه بستگی دارد. لیپکوفسکی همچنان در حال آزمون و خطا در این حوزه است.

ارزش عملی

بر خلاف باور عموم، شبکه‌های ایزوله یا جداسازی‌شده‌ی پشتِ شبکه‌های شکاف هوا نه تنها در لابراتورهای فوق سری و امکانات مهم زیرساخت استفاده می‌شوند که حتی می‌توان آن‌ها در کسب و کارهای معمول نیز به کار برد؛ کسب و کارهایی که اغلب از دستگاه‌های ایزوله‌‌شده‌ای چون ماژول‌های امنیت سخت‌افزار (برای مدیریت کلیدهای دیجیتال، رمزگذاری و رمزگشایی امضاهای دیجیتال و سایر نیازهای کریپتوگرافیک) یا ایستگاه‌های کار جداسازی‌شده و مخصوص استفاده می‌کنند. اگر شرکت شما از چیزی این چنین استفاده می‌کند حواستان به پتانسیل نشت داده از سوی سیستمی که پشت شبکه شکاف هوا قرار دارد باشد. با این تفاسیر، لیپکوفسکی از یک گیرنده خانگی و ارزان‌قیمت USB استفاده کرد. هکرها منابع زیادی در اختیار دارند و با این منابع به احتمال زیاد می‌توانند هزینه‌ی بیشتری برای تجهیزات حساس‌تر تقبل کنند ( و این دامنه دریافت را افزایش می‌دهد). در ادامه توصیه می‌کنیم برای محافظت از شرکت خود در مقابل چنین نشتی‌هایی اقدامات زیر را انجام دهید:

  • نظارت محیطی منطقه‌ای داشته باشید. هر قدر مهاجم بالقوه بتواند به اتاق‌هایی که در خود شبکه‌ها یا دستگاه‌های ایزوله‌شده دارند نزدیک‌تر شود، بیشتر احتمال دارد سیگنال‌ها را ردیابی نمایند.
  • برای پوشانیدن هر اتاقی که در آن تجهیزات مهم ذخیره‌ شده است از فلز استفاده کنید؛ با این کار برای محافظت از اتاق‌ها قفس فارادی[8] درست کرده‌اید.
  • برای کابل‌های شبکه پوشش بگذارید. گرچه عایق‌بندی کابل‌ها در تئوری راه‌حل بی‌نقصی نیست؛ اما تا حد زیادی منطقه‌ای که در آن تغییراتِ نواسانات الکترومغناطیسی احتمال دریافت دارد محدود می‌شود. این کار به همراه نظارت محیطی منطقه‌ای می‌تواند لایه محافظتیِ کافی و خوبی را ایجاد کند.
  • راهکارهایی برای نظارت پروسه‌های مشکوک در سیستم‌های ایزوله‌شده نصب کنید. علاوه بر اینها، مهاجمین باید پیش از آنکه توانسته باشند اطلاعات کامپیوتر را خارج کنند آن را آلوده کنند. با کمک نرم‌افزارهایی مخصوص شما می‌توانید سیستم‌های مهم را بدون هیچ بدافزاری نگه دارید.

 

[1] Chaos Communication Congress

[2] isolated network

[3] air-gapped connection، شکاف هوا، دیوار هوا و یا شکافتن هوا یک معیار امنیت شبکه است که در یک یا چند رایانه استفاده می شود تا تضمین کند که یک شبکه کامپیوتر امن، از لحاظ فیزیکی از دیگر شبکه های ناامن همچون اینترنت عمومی یا شبکه محلی ناامن محافظت می شود.

 [4]  روشی برای انتقال پیام و اطلاعات است که در آن از یک رشته نشانه‌های بلند و کوتاهِ استاندارد به نام خط و نقطه استفاده می‌شود؛ و همچنین در تلگراف نیز بکار گرفته می‌شود. .

[5]   Amateur radio: رادیو آماتوری و فعالیت‌های گسترده آن منحصربه‌فرد یا گروه‌های خاصی نیست بلکه متعلق به همه مردمی است که می‌خواهند به وسیلهٔ فناوری بی‌سیم با دیگران ارتباط برقرار نمایند و همچنین مناسب کسانی است که به فنون مخابراتی و فنی و آزمایش کردن آن‌ها به صورت عملی علاقه‌مند هستند.

[6] Frequency modulation، رمزگذاری اطلاعات در یک موج حامل با تغییر فرکانس لحظه ای موج است. این فناوری در مخابرات، پخش رادیویی، پردازش سیگنال و محاسبات استفاده می‌شود.

[7] media-independent interface (رابط مستقل از رسانه)

[8] Faraday cage، یک قفس یا فضای بستهٔ ساخته‌شده از فلز یا رسانای الکتریکی دیگر است. در سال 1836 میلادی مایکل فارادی در آزمایشی فردی را در یک قفس رسانای بزرگ قرار داد و آن را تا حدی شارژ کرد که بارهای الکتریکی به صورت جرقه از گوشه‌های آن جریان پیدا کردند. قفس فارادی علاوه بر اینکه محافظی در برابر امواج بیرونی است، به امواج درون خود نیز اجازهٔ خروج نمی‌دهد. در این حالت الکترون‌های سطح رسانا به گونه‌ای روی سطح داخلی آن آرایش می‌یابند که اثر بارهای الکتریکی درون قفس را خنثی کنند.

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.