パスワードを忘れた? アカウント作成
15736729 story
ストレージ

SATA ケーブルをアンテナとして電波を送り、エアギャップ環境からデータを盗み出す「SATAn」 51

ストーリー by nagazou
電波 部門より
headless 曰く、

SATA ケーブルをアンテナとして用い、エアギャップ環境からデータを盗み出す手法「SATAn」をイスラエル・ベングリオン大学の Mordechai Guri 氏が発表した (論文アブストラクト論文: PDFNeowin の記事)。

インターネットから隔離されたエアギャップ環境でもマルウェアの攻撃に対して無敵ではなく、2010 年の Stuxnet をはじめとして被害が繰り返し報じられている。ただし、エアギャップ環境ではマルウェアの侵入に成功してもデータを外部に送信できない。Guri 氏はこのような環境でデータを外部に送信するさまざまな手法開発しており、SATA ケーブルはその最新の手法となる。今回の実験で使われたのは SATA 3.0 インターフェイスとケーブルの組み合わせだ。

SATA 3.0 ケーブルからは 1 GHz ~ 6 GHz のさまざまな周波数帯域の電磁波が発せられるが、データ転送との強い相関関係がみられたのは 5.9995 GHz ~ 5.9996 GHz の範囲だったという。そのため、マルウェアがファイルシステムアクセスを継続的に実行するシェルコードを用いて発生させた電波に変調・符号化したデータを乗せて送信し、ソフトウェア無線 (SDR) 受信機を搭載したノート PC などで 5.9 GHz ~ 6 GHz の周波数帯域を受信して復調すればデータが得られる。

SATA インターフェイスは多くの PC が搭載しており、データ送信に特別な権限を必要としない。仮想マシン上で実行することも可能だ。このような攻撃を防ぐためには、多層のセキュリティにより最初の侵入を防ぐこと、エアギャップ環境の近くで無線受信機の使用を禁ずることが挙げられている。あまり現実的ではないが、電波の検出やジャミングといった手法も挙げられている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by nnnhhh (47970) on 2022年07月21日 18時10分 (#4293765) 日記

    普通に動き続けてるシステムだとSATAもうごきっぱだから混じっちゃうよね。
    実用(?)は難しいか?混線減衰もあるしなぁ

    どれぐらいあれば実用的だろう
    マシン20台が稼働してる状態で感染した1台の分を聞き分けられて、壁1枚超えた向こうで取れれば結構いけるか?
    通信速度は…1pbsじゃちょっと遅いか?
    パスワード抜くぐらいならそれでも使えるかしら

    • by Anonymous Coward

      何言ってんだい。1ペタバイト秒もあったらパスワードどころかデータ全部抜けるでしょ。

      # bpsね

      • by Anonymous Coward
        何言ってんだい、ペタは大文字。1ピコバイト/秒だとパスワード一つ抜くのも大変でしょ。
    • by Anonymous Coward

      これ、被験者に猫を見せたら脳のこのあたりが活性化するからここに猫関係のなにかがある、みたいな話だと思う。
      なにかキーワードを送ってSATAが有意に活性化したら、キーワードに関係するデータがそこにあると知れる。

    • by Anonymous Coward

      金属ケースにカギを掛けておけば使えない。

      • by Anonymous Coward

        しかもケーブル長が違えば共振点も違うから狙う周波数も当然違う。

  • by junichi308 (15687) on 2022年07月21日 18時57分 (#4293799)

    ドライブ暗号化で結構防げたりしない?
    あれ、OS側で暗号化/複合化してるよね?
    SATA上に乗るのは暗号化されたデータだけぽい機がするんだけど違うのかな?

    • by Anonymous Coward

      データのやりとりが
      あり: 1
      なし: 0
      みたいな変調をされたら、ボーレートはめちゃくちゃ低いでしょうが攻撃は成立しますよね。

      • by Anonymous Coward

        つーか、従来も同様で、そういう攻撃。
        実験では最速5bpsで成功してる。

    • by Anonymous Coward

      キャッシュとか遅延書き込みの影響も受けそう

    • by Anonymous Coward

      それストーリーの内容を勘違いしてる
      SATA I/Fを通る平文データを盗み出すわけじゃないぞ
      ドライブ暗号化では防げない

      • by Anonymous Coward

        特徴的なデータパターンを流しても暗号化されると狙い通りのパターンが作れなくなる。と言いたいのでは?

        でも、数bpsレベルという事なので、シンプルすぎて暗号化しても無駄みたいですね。

    • by Anonymous Coward

      対策したいなら、そんな面倒なこと考えずにSATAケーブルを使わなければこの問題では漏れないよ。

  • 脆弱性大喜利 (スコア:2, おもしろおかしい)

    by Anonymous Coward on 2022年07月21日 19時03分 (#4293803)

    みんな好きだねぇ…

    • by Anonymous Coward

      そう思えるくらい、現実の攻撃が巧妙になってるって事ですよねぇ。
      # ここ数日機嫌良かったスラドのシステムだけど16時台にまた壊れたようだ。みんなの日記とコメント一覧が更新されなくなっている。崩壊も近いな。

  • by jizou (5538) on 2022年07月21日 19時00分 (#4293802) 日記

    ドライブを暗号化してしまえば、こういうのにも有効ではないかなぁ...

  • by Anonymous Coward on 2022年07月21日 18時17分 (#4293771)

    ピーク的に6Gbpsでリンクしてるって事は使ったデバイスがHDDかSSDだったのかね?
    光学ドライブだと、未だに1.5Gbpsでリンクするの有るし。

    Transcend 256GB MLC SATA III 6Gb/s 2.5” Solid State Drive 370

    論文アブストより
    やっぱりSSDか。
    BIOS/UEFI等で設定可能なSSCの設定が未記載だけど、本件では誤差か。

    SATAケーブルのないmSATAやM.2のSATA接続なSSDでもこの手法が使えるとか有るかな?
    最近はアクセスランプついてないPCとか有るし、SSDだと発覚しづらいかもなぁ。

    • by Anonymous Coward

      光学ドライブ上にあるデータを得るのなら同様の手法が使える(マルウェアが
      その光学ドライブのデータのファイルアクセスをすればいい)けど、そこにない
      データだと継続的にデータアクセス (RWメディアに対する読み書き?)が
      出来ないとこの手法が使えないかもしれません。
      mSATAなら可能かな? M.2 NVMe だと Gen3 or Gen4 の x4 だと
      電波を受けるほうも、それを処理する法も SATA より面倒になりそう。

      • by Anonymous Coward

        いやこの手法は盗み出したいデータのあるドライブに継続的にアクセスするんじゃないから
        盗み出したいデータを光学ドライブから読み取ってメモリ上なり一時フォルダなりに置いた後、
        内蔵SATAドライブへの読み書きを発生させればいい

      • by Anonymous Coward

        ディスクアクセスランプの点滅で端末内の情報を外から観測できるように出力するような物だから、
        送信するデータとSATAデバイスに直接の関係はなく、SATAでのデータ転送を起こせるなら転送方向も問わない筈。

        ケーブルが無いストレージはケーブルやコネクタでの放射機会が減るので、
        基板のEMI対策が丁寧だと放射強度下がって難易度高くなりそう。
        受信が面倒なのはそれはそう。
        本来機器内に封じたい不要な電磁放射だからシールドが完璧な機器なら外には漏れん。
        実際はそんな理想的なシールドはできないから漏れては来るけど、電波として弱い。
        そんな中SATAはケーブル接続なので多少は放射が得やすいかもってのがSATA使った理由だろうし……
        カードエッジやオンボード実装部品とのバス使うならメモリバスのほうが使いやすそうな気がしないでもない。

    • by Anonymous Coward

      論文見ると搬送波は6GHz±数十ppmだからスぺクラム拡散無しですね。
      スペクトラム拡散ありだと相当に難度上がりそう。
      元々かなりSNR低いので、1%の拡散でも受信機側の帯域を数十倍に広げる必要があって相当難しくなるんじゃないかな。

      • by Anonymous Coward

        そもそもSATAに流すデータを変調した信号として受信するという時点でかなり制約があり、SATAコントローラは伝送周波数をリニアに変化させられるようなものではないわけで、あまり複雑な変調方式は使えないんじゃないかなぁ。

        • by Anonymous Coward

          論文読んでないけど、それこそSATAにアクセスするかしないかのon/offで、ASKで送ればいいのでは?

          送るデータ自体は直接拡散で。数bpsで良いなら十分送れそうな希ガス

          • 何か勘違いしてる気がする。
            #4293771 や #4293846 が言ってるスペクトラム拡散は、通信の変調方式のスペクトラム拡散変調ではなく、SATAで規定されてる搬送クロックのスペクトラム拡散のこと。
            ケーブルから漏洩するEMIのパワーを下げるために、クロック周波数を周期的に変動させます。

            今回の手法だと搬送波の6GHz±数十ppmに数bpsのデータが乗ってるわけですが、非常に狭帯域なので受信機側のSNRを稼ぎやすい。
            受信機の帯域を非常に狭くすればSNRを上げられるし、だからこそ今回の手法では数bpsでしかデータを送れないともいえる。
            その前提でSATAのSSCを有効にすると、搬送波の周波数自体が拡散されてしまうので、受信機側の帯域を広げざるを得ず、受信機側のSNRが低下します。

            親コメント
            • by Anonymous Coward

              いやもちろん別のスペクトラム拡散のはなしをしているんだけど、

              そもそも数10ppmの人為的なジッタというものはユーザーがコントロール出来るの?
              またそれはスペクトラム拡散と呼ぶの?確かにスペクトルは広がっているけどさ?

              いや素人なので御教示頂ければ幸いです

            • by Anonymous Coward

              あと付け加えるなら
              ソフトウェア無線で6GHzに乗っている数十ppmの変化を受信してるということですか?
              それはソースを頂きたい
              論文はDLできないし、ストーリーにそう書いてるようには思えないし

          • by Anonymous Coward

            「SATAにアクセスするかしないかのon/off」をGHzオーダーで制御できるなんて考えてるのか?

            • by Anonymous Coward

              どこかにそんなことが書いていたか?

    • by Anonymous Coward

      SATAケーブルがないのはアンテナがないのと同義なので、攻撃者(受信者)が相当(PCケースの蓋を開けるレベルで)デバイスに近付けないと成立しないと思う

      • by Anonymous Coward

        実測した訳じゃないが、波長5cm、半波長2.5cmとかだから基板のパターンでもアンテナになり得るし、少々長さが違う位で輻射されなくなるとかは無いと思われ

  • by Anonymous Coward on 2022年07月21日 18時29分 (#4293780)

    攻性防壁としてアタックデータを撒き散らすことも可能ですね
    読みにいったら焼けましたみたいな

    # 相当ヘボい受信システムでないと焼けないだろうけど

  • by Anonymous Coward on 2022年07月21日 18時50分 (#4293795)

    デスクトップPCの蓋を開けて、中のシリアルATAケーブルの近くに受信用アンテナを設置すれば良いわけだな
    誰でも簡単に実施可能ですね
    #アンテナはEMI測定用に市販されいるものを流用できるでしょう

    • by Anonymous Coward

      先ず、アタック用のソフトを感染?させるのはどうやるんだか。
      内部までハードイジれるなら、こんなまどろっこしいことしなくても他に手があるでしょうねぇ。
      # EMI測定用って大概広帯域アンテナだけど(ログペリとか)
      # 使用周波数がある程度分かっているならそんなでかい広帯域アンテナは必要ない

      ソフト入力自由でコンソールいじれるが通信とメディア類のI/Fアクセス不可という条件で
      データ取り出すなら画面明滅(ASK)でデータ取るとか
      スピーカ出力で電話モデムよろしくピロピロ流すとか
      自分ならそうするかな
      # 画面写真撮るのが一番簡単だw

      • by Anonymous Coward

        >>EMI測定用って大概広帯域アンテナだけど(ログペリとか)

        それはVHF/UHF帯ぐらいまでのフィールドでの測定の話
        装置内部や基板上でのもっと高い周波数での測定となると、単なる棒状とかボール状とか小さいわっか状のアンテナになる

    • by Anonymous Coward

      まあソフトウェア無線受信機を搭載したノートPCとやらでどこまでできるかだけど
      元論文とか読む・・・なら他にも読まなければならないのものが・・・

    • by Anonymous Coward

      デスクトップPCの蓋を開ける必要はない
      論文のデモ環境では送信側のデスクトップPC筐体と受信用のノートPCは70cmくらい離れてる

  • by Anonymous Coward on 2022年07月21日 21時00分 (#4293859)

    ・イスラエル国立ネゲヴ・ベングリオン大学のコレ
    ・LTOの容量がギリギリ予定通り倍近くに増加予定
    ・アップル、日本時間深夜二時から発表会

  • by Anonymous Coward on 2022年07月21日 21時17分 (#4293865)

    この人はマリオ64のTASに命をかけてる人たちと同じ種類の気迫を感じる

    • by Anonymous Coward

      スポンサー(軍とか情報機関とか)に、仕事している感をアピールしてるだけでしょ。
      本当に良い結果が出たら発表されないから、表に出てくるのはしょうもないものだけ。

  • by Anonymous Coward on 2022年07月21日 21時24分 (#4293868)

    地獄のSATAnもまねぇしたい

  • by Anonymous Coward on 2022年07月21日 22時46分 (#4293887)

    アナログVGAケーブルからの漏洩電波を拾って、画面そのものをキャプチャしてしまうという脆弱性があったが、
    実際、この種の手法でのハッキングってのは実用性があるものなのかね?

    • by Anonymous Coward

      昔、NSAネタの本を読んでいたら、「テンペストチェック」とかいう言葉が出てきた。
      ベトナム戦争当時、米軍はベトナム軍をなめきっていて、機密管理がずさんだったらしい。
      で、NSAが米軍の通信やら漏洩電波やらをチェックして、問題点を指摘していた。
      (平文で明日の作戦について連絡したりしていたらしい。指摘しても軍はスルー)
      そのなかにテンペストチェックという言葉が出てきた。
      暗号化装置に接続されている機械や、機械間のケーブルの漏洩電波から、通信内容を読み取れるかどうかチェックするというもの。
      実際に読み取れたらしい。

      漏洩電波から情報を取るのはかなり昔から行われていたんじゃね。

      • by Anonymous Coward

        ソ連は、アメリカ大使館の電動タイプライターが消費する電流量の変化から、タイプしてる文書の内容を推測するテクノロジーを開発してたとかいう…
        対抗策はモーターにフライホイールをつけるだった。

        • by Anonymous Coward

          そこはボールペンを使ったじゃないんだ・・・

    • by Anonymous Coward

      このようなテストで検証している脆弱性のことではないでしょうか?

      https://www.dtb.com/testing-electrical-TEMPEST.php [dtb.com]

      別件でこの研究所を見学しようとしていた矢先に、コロナ禍で渡航できなくなりました。

  • by Anonymous Coward on 2022年07月22日 11時48分 (#4294096)

    SATAは通信可能状態の時は信号を出しっぱなしなのでアイドルとread/writeのノイズ比較をしても違いは少ない。
    評価するならアイドル(信号出力状態)とパワーマネージメント(信号停止状態)なのになんでやってないんだろ

    • by Anonymous Coward

      非rootな通常の権限でも出来るからでは?
      理論上ブラウザや仮想マシン経由でも貫通できる。

  • by Anonymous Coward on 2022年07月22日 20時51分 (#4294384)

    そこは試したのかねぇ。ケーブルなりPCケースまるごと貼りまくれば効かなくなる?

    https://premium.ipros.jp/koyoweb/catalog/detail/51827/ [ipros.jp]
    https://esongemc.co.jp/emi-absorber-sheet [esongemc.co.jp]

    #でも御高いんでしょう。

    • by Anonymous Coward

      もう少ししたらWi-Fi 6EでWi-Fiの電波に埋もれるさ。

typodupeerror

人生unstable -- あるハッカー

読み込み中...