您现在的位置 : 首页 > 保密技术>技术防范
隔空取数:且看跨网窃密如何实现
字体大小: 发布日期: 2018年12月20日 来源: 国家保密局网站 [打印页面]    [关闭页面]
    通常来说,物理隔离是最为保守也是最为保险的网络安全防护措施之一,安全性、保密性要求较高的内部网络通常都会进行物理隔离处理。一般情况下,入侵物理隔离网络的难度要远大于非物理隔离网络,而要想从物理隔离网络中向外导出数据,成功地实现窃密,则更是难上加难。
    然而,随着网络攻击技术的不断发展,一些从物理隔离网络中窃取数据的跨网渗透技术初现端倪,其“隔空取数”的构思之巧妙、手段之高明,超出了常人想象。这些技术多数虽然还处于原理探索和概念演示阶段,但极有可能在不久的将来取得突破并走向实用化,从而对网络安全和保密工作提出新的挑战,值得高度重视和密切跟踪关注。
   
目前有哪些跨网窃密技术
    由于物理隔离网络与外部网络完全隔离,通过网络信道利用恶意软件偷传数据的传统网络窃密方法已经失去作用。物理隔离网络窃密技术是通过采取各种手段措施,将被隔离计算机中的数据转换为声波、热量、电磁波等模拟信号后发射出去,在接收端通过模数转换后复原数据,从而达到窃取信息的目的。
    一、利用设备发热量跨网窃密
    2015年3月,以色列本古里安大学的研究人员设计出了名为“Bitwhisper”的窃密技术,帮助攻击者与目标系统通过检测设备发热量建立一条隐蔽的信道窃取数据。其基本原理是:计算机需要处理的数据量越大,设备的发热量也会随之升高。为实时监控温度,计算机往往内置了许多热传感器,一旦发现变热就会触发散热风扇对系统进行散热处理,甚至在必要时关机以避免硬件损害。研究人员正是利用发送方计算机受控设备的温度升降来与接收方系统进行通信,然后后者利用内置的热传感器侦测出温度变化,再将这种变化转译成二进制代码,从而实现两台相互隔离计算机之间的通信。目前,这一技术的数据传输速率很低,1个小时仅能传输8位数据,但用来发送简单的控制命令或者窃取密码已经足够了。同时,这一技术还有一个限制因素,就是两台计算机的间距不能超过40厘米。研究人员正在研究如何扩大发送与接收方计算机之间的有效通信距离,并提高数据传输速率。
    二、利用设备电磁辐射跨网窃密
    以色列特拉维夫大学的研究人员演示了一种利用设备电磁辐射从物理隔离网络中提取数据的方法,其基本原理是:向目标计算机发送一段经过精心设计的密文,当目标计算机在解密这些密文时,就会触发解密软件内部某些特殊结构的值。这些特殊值会导致计算机周围电磁场发生比较明显的变化,攻击者可以利用智能手机等设备接收这些电磁场波动,并通过信号处理和密码分析反推出密钥。试验结果表明,研究人员在短短几秒内就可成功提取到不同型号计算机上某一软件的私有解密密钥。除此之外,研究人员还演示了利用这一技术破解4096位RSA密码的方法。在实际中运用这一技术的难点是,计算机在同时执行多个任务时,分析计算机中某一特定活动所产生的电磁辐射信号难度会大幅增加。2015年美国“黑帽”黑客大会上,研究人员还演示了一种名为“Funtenna”的窃密技术,其基本原理与上述方法类似。攻击者首先在打印机、办公电话或计算机等目标设备中安装恶意软件,恶意软件通过控制目标设备的电路以预设频率向外发送电磁辐射信号,攻击者可使用收音机天线来接收这些信号,并转化为数据。当然,这一距离不能间隔太远,否则信号衰减会导致数据传输错误。这一技术可以将任何隔离的电子设备变成信号发射器并向外传送数据,从而躲避网络流量监控和防火墙等传统安全防护措施的检测。
    三、利用风扇噪声跨网窃密
    以色列本古里安大学的研究人员开发出了一种名为“Fansmitter”的窃密软件,其基本原理是:在目标计算机上安装这一软件,控制目标计算机风扇以两种不同的转速旋转,并以此产生不同频率的噪音,分别对应二进制代码中的0和1,然后利用这些噪声来窃取数据。这一技术可以控制处理器或机箱的风扇,并在1—4米内有效,可让智能手机或专门的录音设备记录风扇噪音。这种技术的缺点是数据传输速度缓慢,研究人员使用每分钟1000转代表“0”和每分钟1600转代表“1”,结果每分钟能够获取的数据量只有3位。通过使用每分钟4000转和每分钟4250转分别代表“0”和“1”时,每分钟能够获取的数据量可达15位,这对于发送密码而言已经足够了。由于目前大多数计算机和电子设备都配备有散热风扇,所以从某种程度上来说,这类设备都存在遭到这一技术攻击的风险。
    四、利用硬盘噪音跨网窃密
    以色列本古里安大学的研究人员还开发出了一种名为“DiskFiltration”的窃密软件,其基本原理是:想办法在目标计算机上安装并运行这一窃密软件,当找到密码、加密密钥以及键盘输入数据等有用数据后,就会控制硬盘驱动器机械读写臂运行产生特定的噪音,通过接收处理这些噪音信号就可提取相应的数据。目前这种技术的有效工作距离只有6英尺,传输速率为每分钟180位,能够在25分钟内窃取4096位长度的密钥。这一窃密软件也可运行在智能手机或其他带有录音功能的智能设备中,它会对某一频段的音频信号进行监听,并且以每分钟180位的速度来解析音频信号中的数据,有效距离最大为2米。
    五、利用USB设备跨网窃密
    早在2013年,美国国家安全局一位工作人员就曾公开对外演示过如何通过一个改装的USB设备窃取目标计算机中的数据。以色列一家科技公司最近又开发出了这一技术的升级版——“USBee”窃密软件,不需要改装USB设备就可实现跨网窃密。这一软件像是在不同花朵之间往返采蜜的蜜蜂一样,可以在不同的计算机之间任意往返采集数据,因此得名“USBee”。其基本原理是:该窃密软件通过控制USB设备向外发送240—480MHz范围内调制有重要数据的电磁辐射信号,附近的接收器读取并解调后即可得到这些重要信息。其传输速率大约是每秒80个字节,可在10秒内窃取一个长达4096位的密钥。在普通USB设备上,传输距离约为2.7米,带线USB设备由于可将线缆作为天线使用,攻击距离可扩大到8米左右。这一技术可直接使用USB内部数据总线实现信号发送接收,不需要对设备做任何硬件改动,几乎可以在任何符合USB2.0标准的USB设备上运行。
    对网络安全防护工作有何启示
    上述几种新型物理隔离网络窃密技术,展示了攻击者的高超技巧,在令人大开眼界的同时,也给我们带来很多启示。
    启示一:再次证明网络安全是相对的不是绝对的
    网络窃密与反窃密技术始终在动态中发展、在博弈中消长。上述几种新型物理隔离网络窃密技术的出现再次证明,任何网络安全技术、措施和手段带来的安全性都是相对的,因此,没有绝对安全的网络。物理隔离是绝大多数重要内部网络所采取的“标配”安全措施,以往很多人认为,物理隔离网络完全“隔离”了从外部入侵的风险,具有非常高的安全系数。其实,“震网”病毒成功攻击伊朗核电站事件和上述已经公开披露的新型物理隔离网络窃密技术,已经彻底打破一些人认为的“物理隔离绝对安全”的幻想。因此,面对网络窃密技术的快速发展,应树立动态的、发展的、相对的网络安全观,不能故步自封形成思维定势,始终保持清醒的头脑,才能最大限度地避免由于对新技术认识不到位和防范不足而导致的网络安全事件。
    启示二:高度警惕跨网窃密威胁物理隔离网络安全
    通过剖析上述跨网窃密技术表明,采取新机理的新型窃密方法具有很强的隐蔽性,能在神不知鬼不觉中获取物理隔离网络的重要信息,流量监控、入侵检测、防火墙等传统安全技术、手段和措施,因为针对的攻击机理不同,已经难以应对此类新型威胁。这些公开披露的技术虽仍停留在实验阶段,但作为国家级间谍使用工具、投入巨资秘密研发的类似跨网窃密技术,很可能已经实用化并投入实际运用。2013年,美国国家安全局工作人员就曾公开披露过正在研究类似USBee这样的高端攻击工具,时至今日可能早已掌握这种新型技术。据媒体报道,近两年来,朝鲜弹道导弹试验屡次离奇地发射失败,极可能是美军实施“主动抑制发射”网络攻击行动所致。美军可能运用跨网渗透技术对朝鲜导弹发射网络和电子伺服系统实施攻击,通过隐蔽信道发出错误的控制指令或目标数据,令导弹发射后立即爆炸或改变攻击方向等。上述物理隔离网络窃密技术,虽然存在着技术成熟度低、限制条件多、传输速度慢等不足,但一旦经过改进、发展并实用化后,将对网络安全构成重大威胁,必须高度重视并采取多种措施积极应对。
    启示三:采取针对性的措施可以有效防御跨网渗透
    上述物理隔离网络窃密技术在理论上是完全可行的,也得到了实验验证,但在实际运行操作中,仍然有诸多限制条件,只要有针对性地采取相应措施,就可以大幅减少此类技术的威胁。例如,一些重要内部网络由于管理不严,虽然实施了物理隔离,但并没有实现完全的信息隔离,仍存在着使用移动存储设备由外网向内网单向传递软件、数据的现象。如果严格实行完全的信息隔离,攻击者无法在目标计算机上感染恶意软件并操纵其发出携带涉密信息的模拟信号,就构不成跨网窃密的现实条件。此外,在计算机中使用水冷系统替代风扇散热,可完全防范利用风扇噪声窃密技术;给计算机换上非机械结构的固态硬盘,利用硬盘噪音窃密方法就会完全失效;在物理隔离设备附近使用信号干扰器或禁止使用手机等,可有效防止攻击者接收来自物理隔离设备发出的泄密信号等。
    启示四:必须加强监控物理隔离网络无人值守终端
    上述物理隔离网络窃密技术,通常需要在较近的距离才能实现模拟信号的稳定收发,而一些重要核心网络的计算机终端通常处于安保措施比较严格的封闭场所内,提升了接触式攻击的成本和难度,只要内部人员管控到位,遭受跨网攻击的风险就相对较小。然而,对于一些关键基础设施特别是电网等工业控制网络,因其特定的工作任务,其终端需要广泛分布并覆盖到用户所在的各个区域,可谓点多面广,而且多数采用无人值守方式,形成了一个个网络“安全孤岛”,极易成为跨网渗透的攻击入口。2015年12月乌克兰电网受到攻击而大面积停电事件,就充分证明了无人值守终端存在的重大安全隐患。加强无人值守终端的安保措施,避免攻击者与其近距离接触,是增强物理隔离网络安全水平不可忽视的重要方面。