Один пиксель меняет всё.
<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
Даже полностью изолированный от сети компьютер может передавать данные наружу через обычный видеокабель. Специалисты из Шаньдунского университета и лаборатории Quan Cheng описали метод TrojPix, при котором вредоносная программа незаметно меняет отдельные пиксели на экране и заставляет HDMI-кабель излучать управляемые электромагнитные сигналы. Для пользователя изображение остается обычным, но снаружи помещения сигнал можно принять антенной и восстановить передаваемые данные.
Работа посвящена атакам на изолированные сети , которые применяют в военных центрах, государственных учреждениях, финансовых организациях и системах управления критической инфраструктурой. Такие сети физически отделяют от интернета, запрещают беспроводные соединения и ограничивают внешние носители, но даже полная изоляция не устраняет побочные каналы утечки. TrojPix показывает, что таким каналом может стать не память, процессор или накопитель, а цифровой кабель, соединяющий компьютер с монитором.
Суть метода в том, что видеосигнал передается по кабелю с очень высокой скоростью, а токи в проводниках неизбежно создают электромагнитное излучение. Авторы показали, что пиксельные данные влияют на характер таких излучений. Если слегка менять яркость или отдельные цветовые компоненты пикселей, экран почти не меняется для человеческого глаза, но внешний приемник фиксирует, что электромагнитный сигнал заметно меняется.
В предварительном опыте специалисты меняли только младший бит синего канала в выбранной области изображения. Визуально картинка почти не отличалась от исходной, однако осциллограф фиксировал, как менялось электромагнитное излучение. Затем авторы показали, что через такие колебания можно передавать двоичные данные, различая «0» и «1» по интенсивности сигнала на основной частоте 148,5 МГц и второй гармонике 297 МГц.
Для атаки вредоносной программе не нужны права администратора, доступ к оборудованию или необходимость менять кабель. По модели авторов, вредонос работает в пользовательском режиме, находит конфиденциальные файлы, определяет разрешение экрана, формирует замаскированное изображение и начинает скрытно передавать данные. Злоумышленник при этом использует обычное радиоприемное оборудование и антенну за пределами помещения или на удалении от цели.
TrojPix поддерживает два режима. В первом вредоносная программа показывает черный экран или картинку, похожую на выключенный монитор. Пользователь думает, что дисплей спит, но кабель продолжает передавать данные. Как только пользователь двигает мышью, передача сразу останавливается, а экран возвращается в нормальное состояние. Во втором режиме данные встраиваются в текущее изображение: программа едва заметно меняет цвет и пиксели, пока человек продолжает работать за компьютером.
Тесты показали, что метод не привязан к одному устройству. TrojPix проверили на мониторах Dell, AOC, Redmi, Philips, Lenovo, Samsung, LG, Huawei и TCL, а также на пятнадцати обычных цифровых видеокабелях разных производителей и длины. На кабелях удавалось верно восстановить в среднем 99,20% битов, а после коррекции ошибок данные восстанавливались полностью. На мониторах средний показатель достиг 99,13%, также с полным восстановлением после коррекции.
Разрешение экрана почти не влияло на результат. Авторы проверили режимы от 800×600 до 1920×1080 при частоте 60 Гц, и разница в точности оказалась минимальной. На расстоянии 20 метров TrojPix давал 99,19% правильных битов, а на 120 метрах показатель снижался до 91,02%. На открытом пространстве специалистам удалось принять полный пакет данных на расстоянии 208 метров.
В отдельном тесте проверяли, как сигнал проходит через бетонную стену толщиной 30 см. Антенна находилась в 10 метрах от целевого компьютера, и средняя точность снизилась с 99,96% до 99,14%. Авторы делают вывод, что стена ухудшает сигнал, но не разрушает скрытый канал.
Скорость, с которой передавались данные, зависела от того, на какой частоте их принимали. При 5 МГц максимальная скорость составила 1,8 Мбит/с, при 10 МГц – 3,8 Мбит/с, при 15 МГц – 5,9 Мбит/с, а при 20 МГц достигла 8,1 Мбит/с. Для скрытого канала через побочное излучение видеокабеля это очень высокий показатель, особенно с учетом дальности и незаметности изображения.
Насколько незаметен метод, проверили на 50 добровольцах. Участникам показывали изображение до и после работы TrojPix, и никто не сообщил о видимых различиях. Когда передавали файлы размером 10 КБ, 100 КБ, 1 МБ и 10 МБ, точность, с которой удавалось восстановить символы, достигала 100%, а файл на 10 МБ передавался за 41,6 секунды.
Чтобы защититься от такой атаки, нужны меры на физическом уровне. Если кабель дополнительно экранировать, это ухудшает работу TrojPix, но не блокирует канал полностью: даже с защитными материалами успешность оставалась выше 91%. Авторы предлагают экранировать кабель, создавать помехи в нужном диапазоне, менять порядок передачи видеосигнала случайным образом и сглаживать изменения пикселей. Более надежным вариантом специалисты называют видеосоединения без таких электромагнитных утечек, включая оптоволоконные интерфейсы.
<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
Даже полностью изолированный от сети компьютер может передавать данные наружу через обычный видеокабель. Специалисты из Шаньдунского университета и лаборатории Quan Cheng описали метод TrojPix, при котором вредоносная программа незаметно меняет отдельные пиксели на экране и заставляет HDMI-кабель излучать управляемые электромагнитные сигналы. Для пользователя изображение остается обычным, но снаружи помещения сигнал можно принять антенной и восстановить передаваемые данные.
Работа посвящена атакам на изолированные сети , которые применяют в военных центрах, государственных учреждениях, финансовых организациях и системах управления критической инфраструктурой. Такие сети физически отделяют от интернета, запрещают беспроводные соединения и ограничивают внешние носители, но даже полная изоляция не устраняет побочные каналы утечки. TrojPix показывает, что таким каналом может стать не память, процессор или накопитель, а цифровой кабель, соединяющий компьютер с монитором.
Суть метода в том, что видеосигнал передается по кабелю с очень высокой скоростью, а токи в проводниках неизбежно создают электромагнитное излучение. Авторы показали, что пиксельные данные влияют на характер таких излучений. Если слегка менять яркость или отдельные цветовые компоненты пикселей, экран почти не меняется для человеческого глаза, но внешний приемник фиксирует, что электромагнитный сигнал заметно меняется.
В предварительном опыте специалисты меняли только младший бит синего канала в выбранной области изображения. Визуально картинка почти не отличалась от исходной, однако осциллограф фиксировал, как менялось электромагнитное излучение. Затем авторы показали, что через такие колебания можно передавать двоичные данные, различая «0» и «1» по интенсивности сигнала на основной частоте 148,5 МГц и второй гармонике 297 МГц.
Для атаки вредоносной программе не нужны права администратора, доступ к оборудованию или необходимость менять кабель. По модели авторов, вредонос работает в пользовательском режиме, находит конфиденциальные файлы, определяет разрешение экрана, формирует замаскированное изображение и начинает скрытно передавать данные. Злоумышленник при этом использует обычное радиоприемное оборудование и антенну за пределами помещения или на удалении от цели.
TrojPix поддерживает два режима. В первом вредоносная программа показывает черный экран или картинку, похожую на выключенный монитор. Пользователь думает, что дисплей спит, но кабель продолжает передавать данные. Как только пользователь двигает мышью, передача сразу останавливается, а экран возвращается в нормальное состояние. Во втором режиме данные встраиваются в текущее изображение: программа едва заметно меняет цвет и пиксели, пока человек продолжает работать за компьютером.
Тесты показали, что метод не привязан к одному устройству. TrojPix проверили на мониторах Dell, AOC, Redmi, Philips, Lenovo, Samsung, LG, Huawei и TCL, а также на пятнадцати обычных цифровых видеокабелях разных производителей и длины. На кабелях удавалось верно восстановить в среднем 99,20% битов, а после коррекции ошибок данные восстанавливались полностью. На мониторах средний показатель достиг 99,13%, также с полным восстановлением после коррекции.
Разрешение экрана почти не влияло на результат. Авторы проверили режимы от 800×600 до 1920×1080 при частоте 60 Гц, и разница в точности оказалась минимальной. На расстоянии 20 метров TrojPix давал 99,19% правильных битов, а на 120 метрах показатель снижался до 91,02%. На открытом пространстве специалистам удалось принять полный пакет данных на расстоянии 208 метров.
В отдельном тесте проверяли, как сигнал проходит через бетонную стену толщиной 30 см. Антенна находилась в 10 метрах от целевого компьютера, и средняя точность снизилась с 99,96% до 99,14%. Авторы делают вывод, что стена ухудшает сигнал, но не разрушает скрытый канал.
Скорость, с которой передавались данные, зависела от того, на какой частоте их принимали. При 5 МГц максимальная скорость составила 1,8 Мбит/с, при 10 МГц – 3,8 Мбит/с, при 15 МГц – 5,9 Мбит/с, а при 20 МГц достигла 8,1 Мбит/с. Для скрытого канала через побочное излучение видеокабеля это очень высокий показатель, особенно с учетом дальности и незаметности изображения.
Насколько незаметен метод, проверили на 50 добровольцах. Участникам показывали изображение до и после работы TrojPix, и никто не сообщил о видимых различиях. Когда передавали файлы размером 10 КБ, 100 КБ, 1 МБ и 10 МБ, точность, с которой удавалось восстановить символы, достигала 100%, а файл на 10 МБ передавался за 41,6 секунды.
Чтобы защититься от такой атаки, нужны меры на физическом уровне. Если кабель дополнительно экранировать, это ухудшает работу TrojPix, но не блокирует канал полностью: даже с защитными материалами успешность оставалась выше 91%. Авторы предлагают экранировать кабель, создавать помехи в нужном диапазоне, менять порядок передачи видеосигнала случайным образом и сглаживать изменения пикселей. Более надежным вариантом специалисты называют видеосоединения без таких электромагнитных утечек, включая оптоволоконные интерфейсы.
- Источник новости
- www.securitylab.ru