安全牛点评:去年我们有报道过安全专家通过智能手机从运行PGP程序的计算机捕捉计算机CPU加解密时的高频声音“听译”秘钥,趋势科技安全实验室也曾在今年年初的一篇文章中指出,对于需要高度数据安全保护的机器应当拆除声卡,因为类似BadBIOS这样的通过声卡泄露数据的方法是可行的。
除了计算机硬件工作时的高频声音和声卡两个物理攻击渠道外,不久前安全牛还曾报道以色列安全专家发明的“通过皮肤接触获取计算机秘钥”,如果你认为通过皮肤接触的攻击威胁有限,最近以色列安全专家们又开发出了物理攻击的的“杀手应用”——利用计算机硬件的电磁波,最要命的是安全人员还开发出了Android手机应用AirHopper,通过钓鱼攻击下载到Android用户手机中后,可以隔空获取未联网电脑的键盘输入、网卡、存储卡等通讯信息,这使得结合这种新式“物理攻击”的APT攻击更加难以防范。同时也意味着任何一位Android手机用户都有可能不知不觉变成被操控的“超级黑客”。
再问一次,您的网络真的实现物理隔离了吗?在陷入AirHopper制造的恐慌之前,您有必要先回顾一下安全大神Bruce Schneier给出的物理隔离十大天条。
以下关于AirHopper的报道来自以色列时报:
本古里安大学研究人员在波多黎各一场大型科技安全展会上展示的新型网络安全问题。根据过去一年进行的黑客实验,网络安全研究人员莫迪凯•古里(Mordechai Guri)和尤瓦尔•伊洛维奇(Yuval Elovici)向大家展示了其研究成果:AirHopper,一款安卓手机应用。该应用可利用电脑或服务器硬件发出的电磁波窃取信息,这就意味着即使电脑完全不联网也会遭到黑客的袭击。
该应用是“高级持续性威胁”(APT)的一个案例。从广义角度讲,APT的意思是难以察觉的持续性黑客袭击,遭受攻击的用户几乎毫无招架之力,除非有人能想出办法有效抵抗攻击。国际信息系统审计与控制协会(ISACA)以色列分会长谢伊•赞丹尼(Shay Zandani)表示:“APT的形式多种多样,但其共同之处在于具有极度危险性,对社会构成重大威胁,因为实施攻击的黑客可以为所欲为,肆意破坏商业活动和政府机构。”ISACA是一个为计算机安全技术人员提供培训和认证的国际组织,本周在以色列召开了年会。
即便你认为你的电脑没有连接任何网络,其还是能通过电脑硬件发出的电磁波或者声波和外界设备进行连接。比如,特殊设备可利用美国国家安全局的电磁泄露防护技术(TEMPEST)从电脑或服务器电磁泄露信号中获取信息,包括硬件如显示器、键盘、网卡和储存卡等发出的随带无线电或电子信号、声音以及振动等。
比如,键盘上的每一次敲击都将转化成电子信号传达至电脑处理器,经过处理后在屏幕上显示,同时发射出电磁波。因为每一个字母各有不同,所以每一个按键释放的电磁波频率也是不同的。如果黑客能够捕捉上述不同的频率并对其进行重组,那么他就能准确获得登录网络的用户名和密码信息。
如何通过手机利用电磁波入侵网络?当黑客对电子邮件用户实施钓鱼式攻击时,为避免出现敏感的安装请求,他会先给没有戒心的员工发送一封看似正规但实际上包含恶意软件链接的邮件,随后该恶意软件将会偷偷地安装到手机上。
一旦安装成功,恶意软件就开始扫描电磁波。伊洛维奇的团队展示了如何通过电脑显示卡和显示屏完成这一步骤。黑客可通过上述操作建立“网络连接”,并通过FM频率在电脑或服务器安装病毒软件。病毒软件在系统安装后,手机就能通过FM频率与其进行连接,窃取服务器上的信息并通过手机上的移动网络把数据传送给黑客。该研究团队表示,要完成全部操作只需将手机靠近服务器即可,一到六米的距离就已足够。
赞丹尼表示,几乎没有公司能够应对这种突然出现的网络攻击。“ISACA最近的一项调查显示,仅有15%的企业认为自己能够应对APT,但至少有20%的企业已经遭受过袭击。而且这仅仅是基于我们已经知道的APT案例得出的统计数据,如黑客对银行和政府机构进行的大规模袭击。很明显,我们需要把‘预防措施’覆盖到一定范围。”
赞丹尼表示,ISACA的宗旨就是维护网络安全,积极预防APT以及其他网络安全问题。目前已经有180多个国家超过11万的民众通过了该协会的网络安全防范培训,获得了信息系统审计(CISA)、企业信息科技管治(CGEIT)以及风险及信息系统监控(CRISC)等分会颁发的相关证书。学员在获得证书之前需要学习一门课程,并在考试中正确回答相关问题。此外,学员还需在实际应用考察中处理网络安全和黑客袭击突发案件。“我们还制定了相关文件和规划,指导信息技术部门对系统进行保护,为最坏的情况做好准备。我们还和企业和政府机构直接进行合作,为特定问题的解决开设对应课程。”赞丹尼说道。
古里和伊洛维奇表示,研究人员在AirHopper案例中甚至要求员工把手机放在办公室门口,但即使那样也不能确保万无一失,因为手机在离电脑六距离内的地方都能捕捉到电脑的电磁波。
伊洛维奇表示,目前,面对这种新型黑客攻击,除了关机外几乎无计可施。但在当今这个时代,关机是不切实际的,他的团队正在寻找其他解决方法。