アカウント名:
パスワード:
アナログVGAケーブルからの漏洩電波を拾って、画面そのものをキャプチャしてしまうという脆弱性があったが、実際、この種の手法でのハッキングってのは実用性があるものなのかね?
エアギャップに限らずサイドチャネル攻撃含めて、攻撃成立条件がピンキリすぎるから条件次第、としか……攻撃の前提として、・攻撃者は標的に干渉できない・攻撃者は間接的に標的にリクエストを出せる・攻撃者は標的にオンラインでリクエストを出せる・攻撃者は標的内のサンドボックスにて任意コードが実行できる・攻撃者は標的内にて任意コードが実行できるなどなど。受信条件として・攻撃者は標的が間接的に出力したデータのみ取得できる・攻撃者は標的のオンラインでの応答時間等を観測できる・攻撃者は標的敷地外にて電力や電波や光や音を観測できる・攻撃者は標的敷地内の近くの部屋で上記の観測ができる・攻撃者は標的の数メートル圏内で上記の観測ができるなどなど。
数メートルで任意コードが必要とかは実用性低すぎるだろうけど、オンラインでリクエスト送って、またはリクエストすら送らず、応答時間や敷地外からの観測で成立するならかなり使えるよね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
昔々 (スコア:0)
アナログVGAケーブルからの漏洩電波を拾って、画面そのものをキャプチャしてしまうという脆弱性があったが、
実際、この種の手法でのハッキングってのは実用性があるものなのかね?
Re:昔々 (スコア:0)
エアギャップに限らずサイドチャネル攻撃含めて、
攻撃成立条件がピンキリすぎるから条件次第、としか……
攻撃の前提として、
・攻撃者は標的に干渉できない
・攻撃者は間接的に標的にリクエストを出せる
・攻撃者は標的にオンラインでリクエストを出せる
・攻撃者は標的内のサンドボックスにて任意コードが実行できる
・攻撃者は標的内にて任意コードが実行できる
などなど。受信条件として
・攻撃者は標的が間接的に出力したデータのみ取得できる
・攻撃者は標的のオンラインでの応答時間等を観測できる
・攻撃者は標的敷地外にて電力や電波や光や音を観測できる
・攻撃者は標的敷地内の近くの部屋で上記の観測ができる
・攻撃者は標的の数メートル圏内で上記の観測ができる
などなど。
数メートルで任意コードが必要とかは実用性低すぎるだろうけど、
オンラインでリクエスト送って、またはリクエストすら送らず、
応答時間や敷地外からの観測で成立するならかなり使えるよね。