Уряди та інші установи часто використовують системи без доступу до мережі. Але метод RAMBO дозволяє надсилати дані від оперативної пам’яті ізольованих ПК назовні.
Згідно з доповіддю доктора Мордехая Гурі, дослідника з Університету Бен-Гуріона в Негеві, Ізраїль, ізольовані системи не захищені від зовнішніх загроз. Дослідник використав шину оперативної пам’яті комп’ютера для генерації радіосигналу та передавання за її допомогою даних. Він назвав цю атаку RAMBO (Radiation of Air-gapped Memory Bus for Offense, «Випромінення повітряно-ізольованої шини пам’яті для нападу»).
«Зловмисне програмне забезпечення на скомпрометованому комп’ютері може генерувати радіосигнали від шини пам’яті (RAM). Використовуючи радіосигнали, створені програмним забезпеченням, зловмисне програмне забезпечення може кодувати конфіденційну інформацію, таку як файли, зображення, клавіатурні журнали, біометричну інформацію та ключі шифрування. За допомогою апаратного забезпечення програмно керованого радіо (SDR) і простої готової антени зловмисник може перехоплювати передані необроблені радіосигнали на відстані», — пише Мордехай Гурі.
Теоретично цей метод може бути використаний зловмисниками назовні для перехоплення та викрадення конфіденційних даних без інтернету чи фізичного доступу до системи. Досягнута в експериментах пропускна здатність становила 1000 біт на секунду, тобто для завантаження 1 ГБ даних знадобилося б майже 100 днів. Втім, зловмиснику все одно потрібно буде заразити цільовий комп’ютер шкідливим програмним забезпеченням, щоб створити такий радіопередавач.
«Коли дані передаються через шину RAM, це передбачає швидкі зміни напруги та струму, головним чином у шині даних. Ці коливання напруги створюють електромагнітні поля, які можуть випромінювати електромагнітну енергію через електромагнітні перешкоди (EMI) або радіочастотні перешкоди (RFI)», — йдеться у статті.
Використовуючи комп’ютер із процесором Intel Core i7 3,6 ГГц nf 16 ГБ оперативної пам’яті, що працює на частоті 2,133–2,400 ГГц, Гурі продемонстрував, що невеликі файли можна передавати приблизно за 400 с на відстань 7 м. Пропускної здатності достатньо для запуску кейлогера в реальному часі. Менші відстані призвели б до збільшення швидкості.
Публікація пропонує деякі заходи протидії подібним атакам: зональні обмеження, системи виявлення вторгнень на хост, зовнішній моніторинг електромагнітного спектру, блокування роботи пам’яті, придушення радіовипромінювання та корпуси Фарадея.
Хакери можуть бачити текст на екрані через випромінення HDMI — метод вже використовують
Джерело: Cybernews