Shandong Üniversitesi'ndeki araştırmacılar, tüm ağlarla bağlantısı kesilen bilgisayarlardan veri çekmenin yeni ve hızlı bir yolunu gösterdi. TrojPix adı verilen teknik, ekrandaki pikselleri gözün göremeyeceği şekilde ayarlıyor, böylece onları taşıyan video kablosu yakındaki bir alıcının çözebileceği zayıf bir radyo sinyali yayıyor.
Ancak TrojPix, yalnızca kötü amaçlı yazılım hedef makineye zaten yüklendiğinde çalışır; bu nedenle, çalınan verilerin içeri girmesi değil, dışarı çıkmasının bir yoludur. Araştırmacıların testlerinde TrojPix, 8,1 Mbps'lik bir zirveye ulaştı ve 208 metreye kadar ulaştı; ikisi birlikte değil, ayrı ayrı ölçülmüştür.
Çoğu hava boşluğu gizli kanalı saniyede bit veya kilobit hızında ilerler; TrojPix, saniyede yaklaşık bir megabayt olan 8,1 megabit hızında, 100 MB'lık bir dosyayı iki dakikadan kısa sürede taşıyabilir. Bu, tehdidin bir parolanın sızdırılmasından, monitör kapalı görünürken tüm dosyaların taşınmasına dönüşmesine neden olur.
Gerçek dünyadaki menzil ise başka bir konudur: Alıcının hâlâ duvarlar, korumalar ve gürültüyle mücadele etmesi gerekir.
Sistem Güvenliği
Araştırmacılar, algılanamaz piksel modülasyonu adını verdikleri yöntemin, yönetici haklarına ve donanım değişikliğine ihtiyaç duymadığını söylüyor; ekrana çizebilecek kullanıcı düzeyindeki kötü amaçlı yazılımlar yeterlidir.
Teknik Analiz
Trafiği gizlemenin iki yolunu anlatıyorlar. Biri, kapalı bir ekran taklidi yaparak iletim sırasında ekranı karanlık tutuyor. Diğeri ise sinyali halihazırda ekranda olanın içine gömer, böylece sıradan görünen içerik yükü taşır.
Ekip, dokuz monitör markası ve on beş video kablosuyla çalıştığını, dolayısıyla sonucun tek bir kuruluma bağlı olmadığını bildirdi.
Uzmanların Görüşleri
Bir video kablosunu gizli bir vericiye dönüştürmek yeni değil. Bunun kökeni, TEMPEST olarak bilinen, ödün veren yayılımlar üzerine onlarca yıllık bir çalışmaya ve daha yakın zamanda, ortak bir uzun menzilli kablosuz standardı olan kullanıma hazır LoRa radyolarına ulaşmak için aynı numarayı kullanan TEMPEST-LoRa (CCS 2025) gibi çalışmaya kadar uzanıyor.
Bu, 87,5 metrede veya 21,6 kbps'de zirveye ulaştı. Her ne kadar ikisi farklı koşullar altında farklı alıcılar kullanıyor olsa da, TrojPix'in en yüksek verimi yüzlerce kat daha yüksektir, dolayısıyla rakamlar bire bir karşılaştırma değildir.
Gelecekte Ne Bekleniyor?
Bu emisyon kanalları laboratuvar çalışması olarak kalıyor. Stuxnet'ten Agent.BTZ'ye kadar vahşi doğada ortaya çıkan hava boşluğu saldırıları, boşluğu radyo üzerinden değil USB sürücülerinde aştı; TrojPix ve onun türü, neyin yakalandığını değil neyin mümkün olduğunu gösterir.
Nasıl Önlem Alınmalı?
The Hacker News'in 2024'te haber yaptığı bir başka ekran tabanlı kanal olan PIXHELL, ekranın kendisinin hava boşluklu bir bilgisayardan veri sızdırmak için ses çıkarmasını sağladı.
Önemli Gelişmeler
Diğerleri, TrojPix'in kaçındığı türden bir donanım değişikliği olan yerleşik bir donanım implantasyonuyla verileri Ethernet'ten çekti.
Emisyonun kendisini ortadan kaldıramazsınız. Karşı önlemler fiziksel ve önleyicidir: videoyu bakır yerine böyle bir sinyal taşımayan fiber optik bağlantılar üzerinden çalıştırın; TEMPEST dereceli tesislerin zaten yaptığı gibi, verilerin gerektirdiği durumlarda ekranlı kablolar ve odalar; ve her şeyden önce, ilk etapta kötü amaçlı yazılımları makineden uzak tutun, çünkü bu dayanak olmadan TrojPix'in gönderecek hiçbir şeyi yoktur.
Sonuç ve Değerlendirme
Bir saldırgan içeri girdiğinde, bu kadar hızlı bir kanal, ekran karanlık kaldığında verileri dışarı taşıyabilir.