لوگوی ارتباط افزار افق
منو
بستن
۰۲۱۹۱۳۰۵۹۷۹
٠٩٠٢٦٣٤٩٦١٦

CASPER از اسپیکر داخلی رایانه برای جاسوسی استفاده می کند

CASPER از اسپیکر داخلی رایانه برای جاسوسی استفاده می کند.

فهرست مطالب

بدافزاری که اطلاعات را به صورت صوت مخابره می‌کند

گروهی از محققان امنیتی دانشگاه امنیت سایبری سئول، روشی پنهانی برای مخابره اطلاعات از سیستم‌های رایانه‌ای ارائه کرده‌اند. این حمله که CASPER نامگذاری شده است می‌تواند اطلاعات را از یک رایانه کاملا ایزوله، به یک تلفن هوشمند در فاصله نزدیک با سرعت 20بیت در ثانیه ارسال کند. CASPER از اسپیکر داخلی رایانه قربانی به عنوان یک کانال ارتباطی استفاده می‌کند که می‌تواند با تولید صداهایی با فرکانس بالا که برای گوش انسان قابل شنیدن نیست، اطلاعات باینری یا مورس کد را به میکروفنی در فاصله 1.5 متری ارسال کند. میکروفن دریافت کننده این اطلاعات می‌تواند یک تلفن هوشمند در جیب مهاجم یا یک لپ‌تاپ در همان اتاق باشد.

محققان پیش از این، از اسپیکرهای اکسترنال برای پیاده سازی حمله مشابهی بهره می‌بردند. اما با توجه به اینکه، کامپیوترهای کاملا ایزوله‌ای که به هیچ شبکه‌ای متصل نیستند و در محل‌های بسیار حساسی همچون اماکن دولتی، زیرساخت‌های انرژی و اماکن نظامی استفاده می‌شوند فاقد اسپیکر خارجی می‌باشند. با این حال اسپیکرهای داخلی به طور معمول در سیستم‌های رایانه‌ای استفاده می‌شود و وظیفه تولید صداهای هشداردهنده فیدبک همچون صدای زمان بوت را بر عهده دارند. به همین دلیل گزینه‌ای بهتر برای این حمله می‌باشند.

روش کار

مرحله اول در انجام حمله CASPER علیه اهداف ایزوله، یک کارمند فریب خورده و یا یک نفوذی است که دسترسی فیزیکی به هدف مورد نظر داشته باشد تا بتواند سیستم مورد نظر را با بدافزار آلوده کند. شاید این سناریو غیرعملی و کمی دور از تصور به نظر برسد؛ ولی نمونه‌هایی از انجام چنین حمله‌هایی را در سطح جهان می‌توان یافت. مهمترین نمونه که در کشور ایران نیز با آن روبه رو شده‌ایم، ویروس استاکس نت می‌باشد که توسط یک فلش دیسک به سایت هسته‌ای نطنز انتقال یافته بود و توانسته بود رایانه ایزوله را آلوده کند.

بدافزار مذکور می‌تواند به شکل غیرقابل شناسایی فایل‌های مستقر در سیستم ایزوله را ردیابی کرده و اطلاعات را به حمله کننده مخابره کند. در واقع، بدافزار مذکور به صورت keylogger  طراحی شده که برای چنین انتقالی با سرعت پایین مناسب باشد. بدافزار داده‌ها را رمزگذاری کرده و به شکل باینری و یا کدهای مورس از طریق اسپیکر داخلی و با استفاده از تغییر فرکانسی آن بین 17کیلوهرتز تا 20کیلوهرتز که در محدوده فرکانسی فراصوت قرار می‌گیرد و برای گوش انسان غیرقابل شنیدن است، ارسال کند.

casper attack diagram

نتایج

محققان برای اجرای حمله CASPER در محیط آزمایشگاهی، از یک کامپیوتر با سیستم عامل Ubuntu و یک دستگاه تلفن همراه هوشمند سامسونگ به عنوان دریافت کننده استفاده کرده‌اند. بروی دریافت کننده یک اپلیکیشن ساده ضبط کننده صدا که توانایی ذخیره فرکانس تا 20کیلوهرتز را دارد نصب شده‌است.

در ارسال اطلاعات به روش مورس کد، طول هر بیت 100میلی ثانیه، کاراکتر نقطه فرکانس 18کیلوهرتز و برای کاراکتر دش(-) 19کیلوهرتز در نظر گرفته شده‌است. تلفن هوشمند در فاصله 50 سانتی متر از دستگاه قربانی قرار گرفته و توانست کلمه ارسالی مورد نظر را دریافت و رمزگشایی کند.

در روش باینری، طول هر بیت 50 میلی ثانیه، بیت‌های صفر فرکانس 18کیلوهرتز و برای بیت های یک فرکانس 19کیلوهرتز در نظر گرفته شد. همچنین برای ارسال بیت‌های شروع و پایین نیز از فرکانس 17کیلوهرتز استفاده شده است تا شروع و پایان پیام‌ها قابل تفکیک باشد.

ارسال اطلاعات باینری با امواج صوت

براساس تست‌‌های انجام گرفته حداکثر فاصله‌ای که دریافت کننده در بیت‌هایی با طول 100میلی ثانیه، امکان دریافت اطلاعات را دارد 1.5 متر است. نتایج کلی آزمایشات نشان دهنده تاثیر طول بیت‌ها بر خطای حاصله است؛ با کاهش طول بیت‌های ارسالی نرخ خطای انتقال افزایش می‌یابد. بنابراین سریعترین روش ارسال 20بیت بر ثانیه در طول بیت 50میلی ثانیه می‌باشد.

با این سرعت ارسال داده، بدافزار مذکور می‌تواند یک کلمه 8 کاراکتری را در 3 ثانیه ارسال کند و برای یک کلید 2048 بیتی RSA نیاز به 100 ثانیه زمان دارد. برای ارسال یک فایل به انداز 10کیلوبایت به یک ساعت زمان نیاز خواهیم داشت تا بتوانیم در یک شرایط ایده‌آل از کامپیوتر ایزوله اطلاعات مدنظر را مخابره نماییم. این متد نسبت به سایر روش های مخابره اطلاعات همچون نوری و یا الکترومغناطیسی بسیار کندتر است.

میزان خطای اطلاعات ارسالی در سرعت های انتقال مختلف

محققان همچنین روش‌هایی برای مقابله با حمله CASPER نیز ارائه کرده‌اند:

  • راحت ترین روش جدا کردن اسپیکر داخلی از سیستم ایزوله می‌باشد.
  • استفاده از یک فیلتر صدا که توانایی بلاک کردن امواج فراصوت را دارد.
  • اقدامات حفاظت فیزیکی و کنترل دسترسی کاربران به رایانه ایزوله.

نتیجه گیری

مهمترین و اصلی ترین سطح امنیتی در نفوذ به سیستم های ایزوله، عوامل انسانی می‌باشد. بدون دسترسی فیزیکی به رایانه‌ای که در اماکن حساس و بدون اتصال به شبکه در حال سرویس‌دهی می‌باشد، امکان نفوذ به چنین سیستم‌هایی غیر ممکن است. شاید برخی، محصولات آنتی ویروس را صرفا مختص رایانه‌های تحت شبکه قلم داد کنند، با اینکه سیستم‌های تحت شبکه سطح نفوذپذیری بیشتری دارند ولی سیستم‌های ایزوله نیز مطمئنا به محصولات آنتی ویروس جهت جلوگیری از نشت اطلاعات و محافظت در برابر فلش دیسک‌های آلوده نیاز به این نرم افزارها خواهند داشت. همچنین رایانه‌های ایزوله نیاز به تمهیدات حفاظتی جهت جلوگیری از دسترسی فیزیکی دارند، که بیش از پیش در رایانه‌های بکار رفته در اماکن حساس و ریسک بالا احساس می شود.