Comment Fansmitter Malware vole les données des ordinateurs isolés

En matière de sécurité informatique, la protection ultime est l'entrefer, un espace physique entre un ordinateur et Internet pour garantir que l'appareil est entièrement isolé du monde dangereux du piratage.





Mais bien que les ordinateurs à espacement aérien soient un moyen efficace de les protéger, ce n'est pas parfait. Ces dernières années, les experts en sécurité informatique ont mis au point diverses stratégies diaboliques pour extraire des informations de ces appareils. L'une consiste à réquisitionner les haut-parleurs intégrés de l'ordinateur et à les utiliser pour envoyer des données par ultrasons à un appareil d'enregistrement à proximité, tel qu'un téléphone portable. En effet, certains chercheurs en sécurité affirment avoir vu exactement ce type de malware à ultrasons dans la nature.

La meilleure contre-mesure pour ce genre d'attaque est évidente : retirez les haut-parleurs. Sans haut-parleurs pour générer du son, un ordinateur ne peut pas divulguer des données de manière acoustique. Ou alors tout le monde pensait.

Aujourd'hui, Mordechai Guri et ses amis de l'Université Ben-Gurion en Israël disent avoir trouvé un autre moyen de pirater des ordinateurs isolés, cette fois en réquisitionnant le ventilateur de l'ordinateur et en modifiant sa vitesse de rotation pour contrôler le son qu'il produit. Ils appellent cette nouvelle approche un fansmitter.



Les fansmitters sont simples dans leur principe. Presque tous les ordinateurs utilisent des ventilateurs pour refroidir le processeur principal et la carte graphique, et pour pomper l'air à travers le châssis. Lorsqu'ils fonctionnent normalement, le son principal produit par ces ventilateurs est le résultat de la rotation des pales forçant l'air à passer les pales statiques.

La fréquence de ce bruit dépend du nombre de pales et de leur vitesse de rotation. Il est généralement de l'ordre de centaines de hertz. Toute modification de ce taux de rotation modifie la fréquence du son.

C'est la base de leur approche. Ces types ont créé des logiciels malveillants qui modifient la vitesse de rotation, et donc le son, d'un ventilateur d'ordinateur pour encoder des données.



Le logiciel malveillant transmet des informations à l'aide d'un protocole spécial dans lequel les informations sont divisées en paquets composés d'un préambule et d'une charge utile. Le préambule est constitué du signal 1010, qu'un dispositif d'écoute peut utiliser pour le calibrage. Ceci est suivi d'une charge utile de 12 bits qui encodent les données à transmettre. Cela peut être capté par n'importe quel appareil d'écoute à proximité, comme un smartphone.

Un problème potentiel est qu'un utilisateur peut remarquer et se méfier des variations du bruit du ventilateur. Ainsi, Guri et co utilisent des basses fréquences de 140 à 170 hertz, qui sont plus difficiles à entendre pour les humains. La modulation des données sur le changement de fréquences proches est également moins perceptible par un utilisateur, car elle se fond et apparaît comme un bruit environnemental de fond naturel, disent-ils.

Enfin, l'équipe a mis son logiciel malveillant à l'épreuve en l'utilisant pour contrôler à la fois un ventilateur de processeur et un ventilateur de châssis, qui sont tous deux courants sur les ordinateurs d'aujourd'hui. En tant que récepteur, ils ont utilisé un smartphone Samsung Galaxy S4 avec un microphone échantillonnant à 44,1 hertz. L'environnement de test était leur laboratoire informatique avec un bruit de fond ordinaire, sept postes de travail, plusieurs commutateurs réseau et un système de climatisation actif.



La vitesse à laquelle l'équipe pouvait envoyer des informations était limitée par la distance entre le smartphone et l'ordinateur, et par la quantité de bruit de fond. Néanmoins, ils ont pu transmettre à des débits allant jusqu'à 900 bits par heure. En utilisant notre méthode, nous avons réussi à transmettre des données d'un ordinateur isolé sans matériel audio à un récepteur de smartphone dans la même pièce, se vante l'équipe.

Guri et co disent que la technique peut également être appliquée à d'autres appareils. Nous montrons que notre méthode peut également être utilisée pour divulguer des données à partir de différents types d'équipements informatiques, de systèmes embarqués et d'appareils IoT qui n'ont pas de matériel audio, mais contiennent des ventilateurs de différents types et tailles, disent-ils.

C'est un travail intéressant qui donnera aux experts en sécurité informatique une raison supplémentaire de s'inquiéter. Les contre-mesures sont nombreuses et relativement simples. La plus évidente consiste à conserver les ordinateurs sensibles dans des zones restreintes où les téléphones portables et autres appareils d'enregistrement sont interdits. Une autre consiste à générer tellement de bruit de fond que les transmissions acoustiques sont impossibles. Ensuite, il est possible de remplacer les ventilateurs par des ventilateurs silencieux spécialisés ou d'utiliser le refroidissement par eau à la place.



Mais tout cela ajoute encore une autre couche de précaution et de complexité à une industrie de la sécurité informatique déjà surchargée. La vérité est qu'il est impossible d'atteindre une sécurité parfaite. La seule chose qui peut être garantie est que si vous craignez que votre ordinateur ne divulgue des informations, vous aurez de nombreuses nuits blanches à venir.

Réf : arxiv.org/abs/1606.05915 : Fansmitter : Exfiltration de données acoustiques à partir d'ordinateurs isolés (sans haut-parleur)

cacher