hedefli saldırılar
İnternet, sorun demektir. Bu nedenle, bir bilgisayarda son derece değerli bilgiler depolamak veya kritik bir işlemi kontrol etmek için en radikal yollardan biri, onu asla internete, hatta belki de yerel ağ da dahil herhangi bir ağa bağlamamaktır. Bu fiziksel izolasyon, hava aralığı olarak bilinir.
Bağlantı yoksa sorun da olmaz, değil mi? Ne yazık ki, bu tamamen doğru değil: Hava aralıklı bir cihazdan bile veriler sızdırmanın bazı kurnaz yollar var. İsrail Ben-Gurion Üniversitesi’nde Mordechai Guri başkanlığındaki bir grup araştırmacı, bu tür veri hırsızlığı yöntemlerinde uzman. Bu yazıda, ne bulduklarını ve sizin (ve bizim) için endişelenmeye gerek olup olmadığını anlatıyoruz.
Hava aralığından nasıl atlanır
Hava aralıklı sistemlerin savunmasız kalabileceği yeni bir haber değil: Tedarik zinciri saldırılarının ve rüşvet alan şirket çalışanlarının bu sistemlere zarar verebilmesi mümkün. Bu tür saldırıların en basit örneği, virüslü bir flash sürücü kullanmaktır; efsanevi Stuxnet de tam olarak böyle başladı.
Tamam, bilgisayara virüs bulaştı; ancak İnternet bağlantısı olmadan birileri nasıl veri sızdırabiliyor?
İşte yaratıcılığın fizikle buluştuğu yer tam da burası. Bir bilgisayar fiziksel olarak yalıtılmış olabilir ve ağlar üzerinden dışarıya herhangi bir sinyal iletmeyebilir; ancak yine de ısı, manyetik alanlar ve gürültü üretir. Bu akla gelmeyecek kanallardan bilgi sızdırılabilir.
Ultrason
Hoparlörü veya ses donanımı olmayan bir bilgisayar bile 20 Hz – 24 KHz aralığında ses çıkarabilir (örneğin, güç kaynağının frekansını değiştirirseniz). Dahası, ayrı bir mikrofonu olmayan bir cihaz bile dinleme yapabilir, çünkü hoparlörler veya kulaklıklar mikrofon rolünü yerine getirecek şekilde manipüle edilebilir. Yukarıda belirtilen aralığın önemli bir kısmı (tam olarak 18 KHz – 24 KHz arası), insanın işitme sınırlarının dışındadır; bu da durum, çok çeşitli ve çok ilginç şekillerde kullanılabilir. Örneğin, evde bu aralığı kullanmak akıllı bir hoparlörü etkinleştirebilir.
Daha tehlikeli olanı ise, biri bir bilgisayara hedef bilgilerini kodlayıp ultrasonla ileten kötü amaçlı yazılım bulaştırabilir. Bu da yakındaki başka bir virüslü cihaz (örneğin bir akıllı telefon) tarafından alınır ve dış dünyaya aktarılır. Diğer yöntem araştırmacıları ise bilgisayar fanlarının ve sabit disklerin çıkardığı seslerin de kötü amaçlarla kullanılabildiğini keşfetti.
Elektromanyetizma
En eski yöntemlerden biri olan elektromanyetizmayı da unutmamak lazım. Bir elektrik akımı, alınıp tekrar bir elektrik sinyaline dönüştürülebilen bir elektromanyetik alan oluşturur. Akımı kontrol ederek bu alanı da kontrol edebilirsiniz. Bunu bilen saldırganlar, ekrana bir dizi sinyal göndererek monitör kablosunu bir tür antene dönüştürmek için kötü amaçlı yazılımlar kullanabilirler. Gönderilen baytların sayısını ve frekansını değiştirerek, bir FM alıcısı tarafından algılanabilen radyo yayınlarına neden olabilirler. İşte AirHopper‘ın çalışma mekanizması da budur.
Başka bir yöntem ise bilgisayarın bellek veri yolundan yayılan yayınları yararlanmak için GSMem adlı kötü amaçlı yazılımı kullanır. Bu kötü amaçlı yazılım da AirHopper’a benzer şekilde, bellek veri yolu boyunca belirli bir sıfır ve bir dizisi göndererek elektromanyetik radyasyonunda değişikliklere neden olur. Bu varyasyonlardaki bilgileri kodlamak ve bunları GSM, UMTS veya LTE frekans bandında çalışan normal bir cep telefonu, hatta dahili FM radyosu olmayan bir telefonu kullanarak almak mümkündür.
Genel ilke çok açıktır: Hemen hemen her bilgisayar bileşeni, bir anten olabilir. USB veri yolundan, GPIO arabiriminden ve güç kablolarından radyasyon kullanarak veri aktarma yöntemlerini içeren araştırmalar da vardır.
Manyetizma
Mıknatıs tabanlı yöntemlerin belirgin özelliği, bazı durumlarda elektromanyetik radyasyonu engelleyen ve bu nedenle çok güvenilir bir koruma olarak kabul edilen Faraday kafeslerinde bile çalışabilmeleridir.
Dışarı veri sızdırmak için manyetizma kullanılması yöntemi, CPU’ların ürettiği ve metal kasadan sızan yüksek frekanslı manyetik radyasyondan yararlanır. Örneğin, bir pusulanın Faraday kafesi içinde çalışabilmesinin nedeni, işte bu radyasyondur. Araştırmacılar, bir işlemcinin çekirdeğindeki yükü yazılım aracılığıyla manipüle ederek manyetik radyasyonunun kontrol edilebildiğini keşfettiler. Kafesin yanına bir alıcı cihaz yerleştirmek yeterliydi: Guri’nin ekibi 1,5 metre veya yaklaşık 5 feet’lik bir menzilin yeterli olduğunu belirtti. Araştırmacılar, bilgileri almak için komşu bir bilgisayarın seri bağlantı noktasına bağlı bir manyetik sensör kullandılar.
Optik
Hava aralıklı olanlar da dahil olmak üzere tüm bilgisayarlar LED’lere sahiptir ve bir saldırgan, yine kötü amaçlı bir yazılım yoluyla, bu LED’lerin yanıp sönmelerini kontrol ederek izole bir makineden gizli verileri sızdırabilir.
Bu veriler, odadaki bir gözetim kamerasını hackleyerek yakalanabilir. Örneğin, LED-it-GO ve xLED bu şekilde çalışır. AIR-Jumper‘a gelince, kameralar hem içeri hem de dışarı veri sızdırma mekanizmaları olarak çalışabilir; insan gözüyle görülemeyen kızılötesi radyasyonu hem yayabilir hem de yakalayabilirler.
Termodinamik
Yalıtılmış bir sistemden veri iletimi için beklenmedik bir diğer kanal ise ısıdır. Bir bilgisayarın içindeki hava; CPU, ekran kartı, sabit disk ve çok sayıda çevresel aygıt tarafından ısıtılır (aslında bakarsanız, ısı üretmeyen parçaları listelemek daha kolay olurdu). Bilgisayarlarda ayrıca hiçbir şeyin aşırı ısınmamasını sağlamak için dahili sıcaklık sensörleri bulunur.
Hava aralıklı bir bilgisayara, kötü amaçlı bir yazılım tarafından sıcaklığı değiştirmek için talimat verilirse ikinci (çevrimiçi) bir makine değişiklikleri kaydedebilir, bunları anlaşılır bilgilere dönüştürebilir ve verileri gönderebilir. Bilgisayarların termal sinyallerle birbirleriyle iletişim kurabilmeleri için, oldukça yakın olmaları (birbirinden 40 santimetreden veya yaklaşık 16 inç’ten daha uzak olmamaları) gerekir. BitWhisper, bu yöntemi kullanan bir örnektir.
Sismik dalgalar
Titreşim, araştırmacıların araştırdığı en yeni veri ileten radyasyon türüdür. Kötü amaçlı yazılım, yine bilgisayarın fanlarının hızını değiştirir; ancak bu durumda hedef, bilgileri ses yerine titreşim olarak kodlar. Bilgisayarla aynı yüzeyde buran bir akıllı telefondaki ivmeölçer uygulaması, dalgaları yakalar.
Bu yöntemin dezavantajı, güvenilir veri aktarımı hızının çok düşük (yaklaşık 0,5 bps) olmasıdır. Bu nedenle, sadece birkaç kilobaytı aktarmak bile birkaç gün sürebilir. Ancak, saldırgan acelesi yoksa yöntem mükemmel bir şekilde işler.
Endişelenmeli miyiz?
Önce bazı iyi haberlerden bahsedelim: Yukarıda listelediğimiz veri hırsızlığı yöntemleri çok karmaşıktır, bu yüzden her önüne gelenin bunları finansal tablolarınızı veya müşteri veritabanınızı sızdırmak için kullanması olası değildir. Bununla birlikte, birlikte çalıştığınız veriler yabancı istihbarat teşkilatları veya endüstriyel casuslar için ilgi çekici nitelikteyse en azından tehlikenin farkında olmalısınız.
Kendinizi nasıl koruyabilirsiniz?
Gizli bilgilerin çalınmasını önlemenin basit ama etkili bir yolu, iş yerlerinde her türlü cep telefonu da dahil olmak üzere tüm yabancı cihazları yasaklamaktır. Bunu yapamıyorsanız veya ek güvenlik önlemlerine ihtiyacınız varsa aşağıdaki önerileri değerlendirin:
- Hava aralıklı bilgisayarın bulunduğu tesisleri bölgelere ayırın ve cihazlar arasında belirli bir mesafe bırakın (buna teknolojik sosyal mesafe diyebiliriz);
- Tesisleri koruyun veya bilgisayarı bir Faraday kafesinin içine yerleştirin (bununla birlikte, yukarıdaki Manyetizma bölümüne de bakın);
- Bilgisayarın manyetik radyasyonu ile ilgili kendi ölçümlerinizi yapın ve anormalliklere dikkat edin;
- Hoparlör kullanımını sınırlayın veya yasaklayın;
- Tüm bilgisayar ses cihazlarını devre dışı bırakın;
- Hava aralıklı bilgisayarın bulunduğu tesislerde ses paraziti oluşturun;
- Güvenlik kameralarının kızılötesi işlevselliğini sınırlayın (bu maalesef karanlıkta etkinliklerini azaltacaktır);
- LED görünürlüğünü azaltın (üzerini bantlayın, bağlantısını kesin, sökün);
- Virüs bulaşmasını önlemek için hava aralıklı bilgisayarda USB bağlantı noktalarını devre dışı bırakın.
Buna ek olarak, araştırmacılar hemen hemen her durumda yazılım düzeyinde daha iyi korumanın izolasyon seviyesini de artırdığını belirtiyorlar. Başka bir deyişle, kötü amaçlı etkinlikleri yakalamak için güvenilir güvenlik çözümleri yüklediğinizden emin olun. İzole edilmiş bir makine, standart görevler için kullanılıyorsa (bu, hava aralıklı bilgisayarlarda oldukça yaygın bir senaryodur) koruma sistemini beklenmedik programların veya işlemlerin yürütülmesini otomatik olarak engelleyen Varsayılan Reddetme moduna geçirin.
