Критична информация може да изтече от RAM паметта, в резултат

Критична информация може да изтече от RAM паметта, вследствие на електромагнитно лъчение (снимка: CC0 Public Domain)

Израелски специалисти по киберсигурност откриха нов метод за кражба на данни от изолирани компютърни системи, употребявани в сериозни инфраструктури, в това число военни съоръжения, държавни организации и атомни електроцентрали. Тези системи са отрязани физически от интернет, с цел да се предпазят от външни закани. Но един нов вид офанзива, наречена RAMBO, може да прихване сензитивна информация, като употребява електромагнитното лъчение, генерирано от работата на RAM паметта.

Въпреки неналичието на директна връзка с интернет, системите с въздушна пролука (Air-gapped) към момента наподобяват податливи на хакерски атаки, отбелязва BleepingComputer. Нападателите могат да инжектират злотворен програмен продукт посредством физически носители, като USB устройства, или да употребяват по-сложна верига от дейности, с цел да открият връзка с компютъра.

Зловредният програмен продукт, вграден в системата, може безшумно да манипулира съставените елементи на RAM паметта, генерирайки следени електромагнитни импулси, които предават информация от компютъра. Данните се кодират в RF сигнали, където “1 ” и “0 ” са показани като “включено ” и “изключено ”.

За по-надеждно предаване и понижаване на грешките се употребява манчестърски код, който съставлява е безусловно двуимпулсно шифроване на истинските двоични данни благодарение на двоичен дигитален сигнал. Хакер може да прихване тези сигнали благодарение на евтини софтуерно дефинирани радиостанции (SDR) и да ги декодира назад в двоичен код.

В същото време скоростта на трансфер на данни по време на офанзивата RAMBO (Radiation of Air-gapped Memory Bus for Offense) е ниска и доближава 1000 бита в секунда (bps), което е еквивалентно на 0,125 KB/s. Но съгласно откривателите, “това е задоволително за кражба на дребни количества данни, като текст, натискания на клавиши и дребни файлове ”. Например, кражбата на ключова дума лишава сред 0,1 и 1,28 секунди, а на 4096-битов RSA криптиран ключ – сред 4 и 42 секунди.

От друга страна, обсегът на предаване на данните зависи от скоростта на предаване. При оптималната скорост (1000 бита в секунда) сигналът е постоянен на разстояние до 3 метра, само че с увеличение на дистанцията вероятността от неточности също се усилва. Когато скоростта се понижи до 500 бита в секунда и по-ниска, обсегът на предаване може да доближи 7 метра.

Изследователите са опитали с по-високи скорости, само че откриват, че над 5Kbps сигналът става прекомерно слаб, с цел да предава надеждно информация. „ Открихме, че скоростта на данни не би трябвало да надвишава 5000 бита в секунда, в противоположен случай сигналът става прекомерно слаб и съдържа доста звук ”, споделят създателите на проучването.

Израелските специалисти оферират няколко метода за отбрана против RAMBO офанзиви и други сходни способи. Такива, да вземем за пример, са усъвършенствана физическа отбрана, угнетяване на електромагнитните излъчвания, генерирани от паметта с случаен достъп (RAM), външни радиочестотни разстройства и потребление на екраниращи кутии на Faraday за блокиране на електромагнитни излъчвания.

Изследователите също по този начин са тествали успеваемостта на офанзивата RAMBO върху виртуални машини и са открили, че уязвимостта се демонстрира даже в тази среда. Но взаимоотношението на RAM паметта в хост системата с операционната система и други виртуални машини може да докара до крах на офанзивата.

„ Показахме, че офанзивата RAMBO работи във виртуални среди, само че все пак, взаимоотношението с хост системата може да докара до нейния срив ”, заключават откривателите.