TrojPix Saldırısı: Hava Boşluğu Olan Bilgisayarlardan Video Kablosuyla 8 Mbps Veri Sızdırma Yazılım

TrojPix Saldırısı: Hava Boşluğu Olan Bilgisayarlardan Video Kablosuyla 8 Mbps Veri Sızdırma

TrojPix, hava boşluğu olan sistemlerden video kablosu yayılımıyla 8 Mbps hızında veri sızdıran yeni bir saldırı tekniği.

Shandong Üniversitesi araştırmacıları, ağlardan tamamen izole edilmiş bilgisayarlardan veri sızdırmak için çok daha hızlı bir yöntem geliştirdi. TrojPix adı verilen teknik, ekrandaki pikselleri insan gözünün algılayamayacağı şekilde değiştirerek video kablosunun zayıf bir radyo sinyali yaymasını sağlıyor. Yakındaki bir alıcı bu sinyali çözerek verileri ele geçirebiliyor. Ancak TrojPix, yalnızca hedef makineye kötü amaçlı yazılım bulaştıktan sonra çalışabiliyor; yani veri çıkışı için bir yol, giriş için değil.

Testlerde TrojPix, saniyede 8.1 megabit (yaklaşık 1 megabayt/saniye) tepe aktarım hızına ulaştı ve 208 metre mesafeye kadar veri iletebildi (bu iki değer ayrı ayrı ölçüldü). Bu hız, saniyede birkaç bit veya kilobit ile çalışan geleneksel hava boşluğu gizli kanallarına kıyasla çok yüksek. 100 MB'lık bir dosyayı iki dakikadan kısa sürede aktarabilen TrojPix, tehdidi parola sızdırmaktan tüm dosyaları taşımaya dönüştürüyor. Gerçek dünyada menzil, duvarlar, kalkanlama ve gürültü nedeniyle daha kısa olabilir.

Araştırmacılar, 'algılanamaz piksel modülasyonu' adını verdikleri bu yöntemin yönetici hakları veya donanım değişikliği gerektirmediğini; yalnızca ekrana çizim yapabilen kullanıcı düzeyinde bir kötü amaçlı yazılımın yeterli olduğunu belirtiyor. Veri trafiğini gizlemek için iki yöntem kullanılıyor: biri ekranı karanlık tutarak monitör kapalı gibi görünmesini sağlarken, diğeri sinyali halihazırda ekranda olan içeriğe gömüyor. Ekip, dokuz farklı monitör markası ve on beş farklı video kablosuyla çalıştığını, yani sonucun tek bir kuruluma bağlı olmadığını bildiriyor.

Video kablosunu gizli bir vericiye dönüştürme fikri yeni değil. Onlarca yıllık TEMPEST çalışmalarına ve daha yakın tarihli TEMPEST-LoRa gibi araştırmalara dayanıyor. Ancak TrojPix'in tepe hızı, önceki yöntemlerden yüzlerce kat daha yüksek. Yine de bu saldırılar henüz laboratuvar aşamasında; gerçek dünyada Stuxnet gibi hava boşluğu saldırıları USB sürücülerle yapıldı. TrojPix'in önlenmesi fiziksel tedbirler gerektiriyor: bakır kablo yerine fiber optik kullanmak, kalkanlama yapmak ve en önemlisi kötü amaçlı yazılımın sisteme girmesini engellemek. Çünkü saldırgan içeri girdiğinde, bu kadar hızlı bir kanal ekran kapalıyken bile verileri dışarı çıkarabilir.

Paylaş: