SATA ケーブルをアンテナとして電波を送り、エアギャップ環境からデータを盗み出す「SATAn」 51
電波 部門より
SATA ケーブルをアンテナとして用い、エアギャップ環境からデータを盗み出す手法「SATAn」をイスラエル・ベングリオン大学の Mordechai Guri 氏が発表した (論文アブストラクト、 論文: PDF、 Neowin の記事)。
インターネットから隔離されたエアギャップ環境でもマルウェアの攻撃に対して無敵ではなく、2010 年の Stuxnet をはじめとして被害が繰り返し報じられている。ただし、エアギャップ環境ではマルウェアの侵入に成功してもデータを外部に送信できない。Guri 氏はこのような環境でデータを外部に送信するさまざまな手法を開発しており、SATA ケーブルはその最新の手法となる。今回の実験で使われたのは SATA 3.0 インターフェイスとケーブルの組み合わせだ。
SATA 3.0 ケーブルからは 1 GHz ~ 6 GHz のさまざまな周波数帯域の電磁波が発せられるが、データ転送との強い相関関係がみられたのは 5.9995 GHz ~ 5.9996 GHz の範囲だったという。そのため、マルウェアがファイルシステムアクセスを継続的に実行するシェルコードを用いて発生させた電波に変調・符号化したデータを乗せて送信し、ソフトウェア無線 (SDR) 受信機を搭載したノート PC などで 5.9 GHz ~ 6 GHz の周波数帯域を受信して復調すればデータが得られる。
SATA インターフェイスは多くの PC が搭載しており、データ送信に特別な権限を必要としない。仮想マシン上で実行することも可能だ。このような攻撃を防ぐためには、多層のセキュリティにより最初の侵入を防ぐこと、エアギャップ環境の近くで無線受信機の使用を禁ずることが挙げられている。あまり現実的ではないが、電波の検出やジャミングといった手法も挙げられている。
話としては面白い (スコア:2)
普通に動き続けてるシステムだとSATAもうごきっぱだから混じっちゃうよね。
実用(?)は難しいか?混線減衰もあるしなぁ
どれぐらいあれば実用的だろう
マシン20台が稼働してる状態で感染した1台の分を聞き分けられて、壁1枚超えた向こうで取れれば結構いけるか?
通信速度は…1pbsじゃちょっと遅いか?
パスワード抜くぐらいならそれでも使えるかしら
Re: (スコア:0)
何言ってんだい。1ペタバイト秒もあったらパスワードどころかデータ全部抜けるでしょ。
# bpsね
Re: (スコア:0)
Re: (スコア:0)
これ、被験者に猫を見せたら脳のこのあたりが活性化するからここに猫関係のなにかがある、みたいな話だと思う。
なにかキーワードを送ってSATAが有意に活性化したら、キーワードに関係するデータがそこにあると知れる。
Re: (スコア:0)
金属ケースにカギを掛けておけば使えない。
Re: (スコア:0)
しかもケーブル長が違えば共振点も違うから狙う周波数も当然違う。
ドライブ暗号化で (スコア:2)
ドライブ暗号化で結構防げたりしない?
あれ、OS側で暗号化/複合化してるよね?
SATA上に乗るのは暗号化されたデータだけぽい機がするんだけど違うのかな?
Re: (スコア:0)
データのやりとりが
あり: 1
なし: 0
みたいな変調をされたら、ボーレートはめちゃくちゃ低いでしょうが攻撃は成立しますよね。
Re: (スコア:0)
つーか、従来も同様で、そういう攻撃。
実験では最速5bpsで成功してる。
Re: (スコア:0)
キャッシュとか遅延書き込みの影響も受けそう
Re: (スコア:0)
それストーリーの内容を勘違いしてる
SATA I/Fを通る平文データを盗み出すわけじゃないぞ
ドライブ暗号化では防げない
Re: (スコア:0)
特徴的なデータパターンを流しても暗号化されると狙い通りのパターンが作れなくなる。と言いたいのでは?
でも、数bpsレベルという事なので、シンプルすぎて暗号化しても無駄みたいですね。
Re:ドライブ暗号化で (スコア:1)
Re: (スコア:0)
対策したいなら、そんな面倒なこと考えずにSATAケーブルを使わなければこの問題では漏れないよ。
脆弱性大喜利 (スコア:2, おもしろおかしい)
みんな好きだねぇ…
Re: (スコア:0)
そう思えるくらい、現実の攻撃が巧妙になってるって事ですよねぇ。
# ここ数日機嫌良かったスラドのシステムだけど16時台にまた壊れたようだ。みんなの日記とコメント一覧が更新されなくなっている。崩壊も近いな。
暗号化 (スコア:1)
ドライブを暗号化してしまえば、こういうのにも有効ではないかなぁ...
Spectrum拡散の設定と、別デバイスだとどうなるかな? (スコア:0)
ピーク的に6Gbpsでリンクしてるって事は使ったデバイスがHDDかSSDだったのかね?
光学ドライブだと、未だに1.5Gbpsでリンクするの有るし。
Transcend 256GB MLC SATA III 6Gb/s 2.5” Solid State Drive 370
論文アブストより
やっぱりSSDか。
BIOS/UEFI等で設定可能なSSCの設定が未記載だけど、本件では誤差か。
SATAケーブルのないmSATAやM.2のSATA接続なSSDでもこの手法が使えるとか有るかな?
最近はアクセスランプついてないPCとか有るし、SSDだと発覚しづらいかもなぁ。
Re: (スコア:0)
光学ドライブ上にあるデータを得るのなら同様の手法が使える(マルウェアが
その光学ドライブのデータのファイルアクセスをすればいい)けど、そこにない
データだと継続的にデータアクセス (RWメディアに対する読み書き?)が
出来ないとこの手法が使えないかもしれません。
mSATAなら可能かな? M.2 NVMe だと Gen3 or Gen4 の x4 だと
電波を受けるほうも、それを処理する法も SATA より面倒になりそう。
Re: (スコア:0)
いやこの手法は盗み出したいデータのあるドライブに継続的にアクセスするんじゃないから
盗み出したいデータを光学ドライブから読み取ってメモリ上なり一時フォルダなりに置いた後、
内蔵SATAドライブへの読み書きを発生させればいい
Re: (スコア:0)
ディスクアクセスランプの点滅で端末内の情報を外から観測できるように出力するような物だから、
送信するデータとSATAデバイスに直接の関係はなく、SATAでのデータ転送を起こせるなら転送方向も問わない筈。
ケーブルが無いストレージはケーブルやコネクタでの放射機会が減るので、
基板のEMI対策が丁寧だと放射強度下がって難易度高くなりそう。
受信が面倒なのはそれはそう。
本来機器内に封じたい不要な電磁放射だからシールドが完璧な機器なら外には漏れん。
実際はそんな理想的なシールドはできないから漏れては来るけど、電波として弱い。
そんな中SATAはケーブル接続なので多少は放射が得やすいかもってのがSATA使った理由だろうし……
カードエッジやオンボード実装部品とのバス使うならメモリバスのほうが使いやすそうな気がしないでもない。
Re: (スコア:0)
論文見ると搬送波は6GHz±数十ppmだからスぺクラム拡散無しですね。
スペクトラム拡散ありだと相当に難度上がりそう。
元々かなりSNR低いので、1%の拡散でも受信機側の帯域を数十倍に広げる必要があって相当難しくなるんじゃないかな。
Re: (スコア:0)
そもそもSATAに流すデータを変調した信号として受信するという時点でかなり制約があり、SATAコントローラは伝送周波数をリニアに変化させられるようなものではないわけで、あまり複雑な変調方式は使えないんじゃないかなぁ。
Re: (スコア:0)
論文読んでないけど、それこそSATAにアクセスするかしないかのon/offで、ASKで送ればいいのでは?
送るデータ自体は直接拡散で。数bpsで良いなら十分送れそうな希ガス
Re:Spectrum拡散の設定と、別デバイスだとどうなるかな? (スコア:1)
何か勘違いしてる気がする。
#4293771 や #4293846 が言ってるスペクトラム拡散は、通信の変調方式のスペクトラム拡散変調ではなく、SATAで規定されてる搬送クロックのスペクトラム拡散のこと。
ケーブルから漏洩するEMIのパワーを下げるために、クロック周波数を周期的に変動させます。
今回の手法だと搬送波の6GHz±数十ppmに数bpsのデータが乗ってるわけですが、非常に狭帯域なので受信機側のSNRを稼ぎやすい。
受信機の帯域を非常に狭くすればSNRを上げられるし、だからこそ今回の手法では数bpsでしかデータを送れないともいえる。
その前提でSATAのSSCを有効にすると、搬送波の周波数自体が拡散されてしまうので、受信機側の帯域を広げざるを得ず、受信機側のSNRが低下します。
Re: (スコア:0)
いやもちろん別のスペクトラム拡散のはなしをしているんだけど、
そもそも数10ppmの人為的なジッタというものはユーザーがコントロール出来るの?
またそれはスペクトラム拡散と呼ぶの?確かにスペクトルは広がっているけどさ?
いや素人なので御教示頂ければ幸いです
Re: (スコア:0)
あと付け加えるなら
ソフトウェア無線で6GHzに乗っている数十ppmの変化を受信してるということですか?
それはソースを頂きたい
論文はDLできないし、ストーリーにそう書いてるようには思えないし
Re: (スコア:0)
「SATAにアクセスするかしないかのon/off」をGHzオーダーで制御できるなんて考えてるのか?
Re: (スコア:0)
どこかにそんなことが書いていたか?
Re: (スコア:0)
SATAケーブルがないのはアンテナがないのと同義なので、攻撃者(受信者)が相当(PCケースの蓋を開けるレベルで)デバイスに近付けないと成立しないと思う
Re: (スコア:0)
実測した訳じゃないが、波長5cm、半波長2.5cmとかだから基板のパターンでもアンテナになり得るし、少々長さが違う位で輻射されなくなるとかは無いと思われ
てことは (スコア:0)
攻性防壁としてアタックデータを撒き散らすことも可能ですね
読みにいったら焼けましたみたいな
# 相当ヘボい受信システムでないと焼けないだろうけど
エアギャップ (スコア:0)
デスクトップPCの蓋を開けて、中のシリアルATAケーブルの近くに受信用アンテナを設置すれば良いわけだな
誰でも簡単に実施可能ですね
#アンテナはEMI測定用に市販されいるものを流用できるでしょう
Re: (スコア:0)
先ず、アタック用のソフトを感染?させるのはどうやるんだか。
内部までハードイジれるなら、こんなまどろっこしいことしなくても他に手があるでしょうねぇ。
# EMI測定用って大概広帯域アンテナだけど(ログペリとか)
# 使用周波数がある程度分かっているならそんなでかい広帯域アンテナは必要ない
ソフト入力自由でコンソールいじれるが通信とメディア類のI/Fアクセス不可という条件で
データ取り出すなら画面明滅(ASK)でデータ取るとか
スピーカ出力で電話モデムよろしくピロピロ流すとか
自分ならそうするかな
# 画面写真撮るのが一番簡単だw
Re: (スコア:0)
>>EMI測定用って大概広帯域アンテナだけど(ログペリとか)
それはVHF/UHF帯ぐらいまでのフィールドでの測定の話
装置内部や基板上でのもっと高い周波数での測定となると、単なる棒状とかボール状とか小さいわっか状のアンテナになる
Re: (スコア:0)
まあソフトウェア無線受信機を搭載したノートPCとやらでどこまでできるかだけど
元論文とか読む・・・なら他にも読まなければならないのものが・・・
Re: (スコア:0)
デスクトップPCの蓋を開ける必要はない
論文のデモ環境では送信側のデスクトップPC筐体と受信用のノートPCは70cmくらい離れてる
定期的に出てくるITネタ (スコア:0)
・イスラエル国立ネゲヴ・ベングリオン大学のコレ
・LTOの容量がギリギリ予定通り倍近くに増加予定
・アップル、日本時間深夜二時から発表会
毎度お馴染みの人 (スコア:0)
この人はマリオ64のTASに命をかけてる人たちと同じ種類の気迫を感じる
Re: (スコア:0)
スポンサー(軍とか情報機関とか)に、仕事している感をアピールしてるだけでしょ。
本当に良い結果が出たら発表されないから、表に出てくるのはしょうもないものだけ。
悪用厳禁 (スコア:0)
地獄のSATAnもまねぇしたい
昔々 (スコア:0)
アナログVGAケーブルからの漏洩電波を拾って、画面そのものをキャプチャしてしまうという脆弱性があったが、
実際、この種の手法でのハッキングってのは実用性があるものなのかね?
Re: (スコア:0)
昔、NSAネタの本を読んでいたら、「テンペストチェック」とかいう言葉が出てきた。
ベトナム戦争当時、米軍はベトナム軍をなめきっていて、機密管理がずさんだったらしい。
で、NSAが米軍の通信やら漏洩電波やらをチェックして、問題点を指摘していた。
(平文で明日の作戦について連絡したりしていたらしい。指摘しても軍はスルー)
そのなかにテンペストチェックという言葉が出てきた。
暗号化装置に接続されている機械や、機械間のケーブルの漏洩電波から、通信内容を読み取れるかどうかチェックするというもの。
実際に読み取れたらしい。
漏洩電波から情報を取るのはかなり昔から行われていたんじゃね。
Re: (スコア:0)
ソ連は、アメリカ大使館の電動タイプライターが消費する電流量の変化から、タイプしてる文書の内容を推測するテクノロジーを開発してたとかいう…
対抗策はモーターにフライホイールをつけるだった。
Re: (スコア:0)
そこはボールペンを使ったじゃないんだ・・・
Re: (スコア:0)
このようなテストで検証している脆弱性のことではないでしょうか?
https://www.dtb.com/testing-electrical-TEMPEST.php [dtb.com]
別件でこの研究所を見学しようとしていた矢先に、コロナ禍で渡航できなくなりました。
無駄に難しいことしてる気がする (スコア:0)
SATAは通信可能状態の時は信号を出しっぱなしなのでアイドルとread/writeのノイズ比較をしても違いは少ない。
評価するならアイドル(信号出力状態)とパワーマネージメント(信号停止状態)なのになんでやってないんだろ
Re: (スコア:0)
非rootな通常の権限でも出来るからでは?
理論上ブラウザや仮想マシン経由でも貫通できる。
6Ghzのシールドシートなりフィルムなりあるんだけど (スコア:0)
そこは試したのかねぇ。ケーブルなりPCケースまるごと貼りまくれば効かなくなる?
https://premium.ipros.jp/koyoweb/catalog/detail/51827/ [ipros.jp]
https://esongemc.co.jp/emi-absorber-sheet [esongemc.co.jp]
#でも御高いんでしょう。
Re: (スコア:0)
もう少ししたらWi-Fi 6EでWi-Fiの電波に埋もれるさ。