新型攻擊方式可通過硬盤燈突破物理隔離

近年來，隨著國內(nèi)外竊密斗爭形勢的日益復雜，物理隔離網(wǎng)絡(luò)逐漸成為重要攻擊目標，出現(xiàn)了許多突破物理隔離的方式。近日，以色列本古里安大學網(wǎng)絡(luò)安全研究中心公布了一種突破物理隔離的新方法，主要利用的是當前大多數(shù)計算機和服務器上都有的硬盤燈（HDDLED）。該攻擊方式通過一臺感染了惡意軟件的計算機上的硬盤燈來發(fā)送機器內(nèi)敏感數(shù)據(jù)，然后通過攝像機、光傳感器等接收信息。

一、攻擊過程

該攻擊過程主要分為惡意軟件植入、數(shù)據(jù)發(fā)送、數(shù)據(jù)接收三個階段。一是惡意軟件植入。主要通過供應鏈攻擊（在目標設(shè)備運輸過程中安裝惡意軟件）、社會工程學攻擊通過心理操縱來誘導攻擊目標實施某種行為，如在公共社交網(wǎng)站上獲得某涉密人員信任，而后誘使其在所在物理隔離網(wǎng)絡(luò)中安裝惡意軟件）等，使目標計算機、服務器等感染相應的惡意軟件。惡意軟件隨后便可在目標計算機中

收集敏感信息（如涉密文檔等）。二是數(shù)據(jù)發(fā)送。由于技術(shù)限制，惡意軟件不能通過主板芯片組直接打開硬盤燈，而是通過調(diào)用特定的讀（寫）命令，間接打開硬盤燈，從而利用硬盤燈的打開、關(guān)閉狀態(tài)來分別表示“1”“0”，將竊取到的文件數(shù)據(jù)等以二進制形式發(fā)送出去。三是數(shù)據(jù)接收。主要通過內(nèi)部隱蔽攝像頭、惡意入侵人員隨身攜帶的攝像機、涉密場所遭入侵的監(jiān)控攝像頭等內(nèi)部接收裝置，以及高分辨率遠程攝像機、無人機載攝像機、光學傳感器等遠程接收裝置進行數(shù)據(jù)接收。接收距離主要受接收者位置、環(huán)境亮度、硬盤燈光波長等影響，一般大于30米，事實上，只要接收者在硬盤燈發(fā)送光信號的可視范圍內(nèi)，輔以光學變焦透鏡等裝置，接收距離甚至可以更遠。

二、主要特點

該攻擊方式主要具有以下三大特點。一是隱蔽性。對于其他使用光學方式（如鍵盤燈和屏幕電源燈）突破物理隔離的方法，由于其異常情況可輕易被觀察到，因此并不隱蔽。在該攻擊方式中，由于硬盤燈在正常工作狀態(tài)（讀/寫文件）下就頻繁閃動，因此閃動時間和速度的受控變化可能不會引起特別關(guān)注。此外在高速傳輸情況下，硬盤燈的閃爍對于人眼來說是不可見的，這使得該竊密通道更加隱蔽。二是便利性。該攻擊方式無需其他任何特殊硬件，只需一個帶有硬盤燈的機器，而硬盤燈在當今大多數(shù)桌面計算機、筆記本電腦和服務器上都普遍存在。此外，激活硬盤燈通過普通的用戶級代碼（惡意軟件）即可實現(xiàn)，并不需要改動操作系統(tǒng)內(nèi)核。三是高速性。在該攻擊方式中，信息傳輸速率最高時可達每秒4000比特，比其他利用光學方式突破物理隔離技術(shù)的速度至少快10倍，因此可以更快地傳送數(shù)據(jù)。例如，對于4096比特的加密密鑰傳送，一般可在數(shù)十秒內(nèi)完成。

三、應對措施

針對上述攻擊方面，建議從以下三個方面加強防范。一是防止惡意軟件植入。強化計算機所在環(huán)境的防護，加強內(nèi)部網(wǎng)絡(luò)設(shè)備供應鏈的安全保密管理，同時開展相應突破物理隔離惡意軟件的檢測技術(shù)研究。二是防止敏感數(shù)據(jù)通過光信號發(fā)送。適時斷開硬盤燈與計算機的連接，或用黑色磁帶覆蓋硬盤燈。此外，還可引入對硬盤的隨機讀寫操作，使得光信號與隨機噪聲混合，通過干擾降低攻擊的有效性。三是防止外部光接收設(shè)備竊取信息。在計算機所在環(huán)境內(nèi)禁用所有攝像裝置，并采用遮蔽窗戶方式防止外部光探測器竊取涉密信息。定期檢查場所內(nèi)的監(jiān)控攝像頭，防止其被用作接收信息的工具。

（原載于《保密科學技術(shù)》雜志2017年8月刊）