r   e   k   l   a   m   a
r   e   k   l   a   m   a

Ultradźwiękowe ukryte sieci dzięki technice floty: badBIOS jednak możliwy?

Strona główna AktualnościOPROGRAMOWANIE

Historia badBIOS-a, szkodnika, który rzekomo zainfekował wszystkie komputery w laboratorium badacza Dragosa Ruiu, do tej pory nie znalazła potwierdzenia ze strony niezależnych ekspertów. Do tej pory też nikt nie zdołał wykazać jednoznacznie, że Ruiu jest po prostu paranoikiem, albo też, że własności, jakie przypisuje on badBIOS-owi, są technicznie niemożliwe. Tymczasem dwójka niemieckich badaczy z Instytutu Fraunhofera w Wachtbergu opublikowała w listopadowym numerze Journal of Communications artykuł, z którego wynika, że bezprzewodowa komunikacja kanałem akustycznym między odłączonymi od urządzeń sieciowych urządzeniami jest jak najbardziej możliwa – a przypomnijmy, że Dragos Ruiu utrzymywał, że właśnie w taki sposób zakażone komputery w jego laboratorium komunikują się między sobą po odcięciu ich od sieci.

Na mikrofony i głośniki wbudowane w komputery trzeba będzie zacząć patrzyć z większą podejrzliwością. Według Michaela Hanspacha i Michaela Goetza, autorów artykułu On Covert Acoustical Mesh Networks in Air, mogą one posłużyć do tworzenia ukrytych kanałów komunikacji, pozwalających na przesyłanie danych poza normalną, kontrolowaną siecią. Spełniają one wszystkie postulaty ukrytej komunikacji – można wykorzystać je do nadawania i odbierania sygnału, są dostępne dla procesów software'owych w przejętej maszynie, nie są rozważane jako urządzenia komunikacyjne, więc nie są objęte systemowymi politykami bezpieczeństwa, mogą też transmitować sygnały tak, by uniknąć przypadkowego wykrycia.

Badacze postawili sobie cel ambitniejszy, niż tylko stworzenie ukrytego akustycznego kanału komunikacji między komputerami – chcieli ustalić, czy możliwe jest stworzenie całej ukrytej akustycznej sieci kratowej, która dynamicznie włącza nowych uczestników i pozwala na trasowanie przesyłanych między nimi wiadomości. Jakie warunki powinno spełniać oprogramowanie, które umożliwiałoby taki niewykrywalny przekaz? Standardowe protokoły sieciowe, takie jak TCP/IP, nie za bardzo nadają się do takich zastosowań, ze względu na generowany przez nie znaczny narzut, więc konieczne jest znalezienie lub zaprojektowanie czegoś bardziej oszczędnego, dostosowanego do minimalistycznej specyfiki akustycznego kanału komunikacji.

Jest jedno środowisko, w którym sieci akustyczne były rozważane już od dawna, jako że w środowisku tym fale elektromagnetyczne są bardzo skutecznie pochłaniane. Wydział podwodnej akustyki i geofizyki w technicznym centrum Bundeswehry w Kiel opracował kompletny protokół komunikacyjny dla komunikacji między okrętami podwodnymi. Składa się on z czterech niezależnych warstw – aplikacyjno-transportowej, sieciowej, korekcji błędów (opcjonalnie) i fizycznego połączenia. Wszystkie warstwy są ze sobą połączone przez wewnętrzne połączenia TCP, a każdą można niezależnie od innych modyfikować.

W warstwie aplikacyjnej wykorzystywany jest format ramki danych GUWAL ((Generic Underwater Application Language) dla taktycznej komunikacji w sieciach podwodnych o niskiej przepustowości (przykładowo jego adresy są 6-bitowe, a nie 32-bitowe jak w IPv4). W warstwie sieciowej działa z kolei protokół trasowania ad-hoc o nazwie GUWMANET (Gossiping in Underwater Mobile Ad-hoc Networks), który pozwala na rozróżnianie sąsiadów i budowanie tras, w ten sposób, że pierwszą wiadomością zalewa się sieć, każdy węzeł powtarza wiadomość, dodając adres węzła, od którego wiadomość otrzymał. Gdy wiadomość dotrze do docelowego węzła, zwracany jest komunikat z powrotem do źródła z podaniem adresów wszystkich pośrednich węzłów. W ten sposób powstaje trasa dla kolejnych pakietów.

Warstwa fizycznego połączenia w zastosowaniach Bundesmarine wykorzystuje oczywiście modemy akustyczne, dostosowane do specyfiki połączeń podwodnych, ale modyfikacje częstotliwości sygnału i próbkowania oraz dodatkowe filtry pozwoliły dopasować ją do specyfiki połączeń między komputerami w warunkach pokojowych, tak by możliwe było wykorzystanie ultradźwięków. Wstępne testy pokazały bowiem, że komputery wykorzystywane w eksperymencie (laptopy Lenovo T400 z systemem Debian 7.1) mogą bez problemów przetwarzać ultradźwięki o częstotliwości około 20 kHz.

Zasięg takich połączeń może być zaskakująco duży – w 25-metrowym korytarzu budynku Instytutu Fraunhofera dwa laptopy mogły ze sobą „rozmawiać” na odległość niemal 20 metrów, z przepustowością około 20 bit/s. W sieci akustycznej składającej się z pięciu laptopów ustawionych w przestrzeni biurowej maksymalne odległości między węzłami wynosiły 6 metrów, a opóźnienia w przekazywaniu pakietu przez nawet trzy-cztery węzły nie przekraczały kilkunastu sekund. Co więcej, dzięki filtrom środkowoprzepustowym udało się wyeliminować zakłócenia związane z typowymi źródłami hałasu, takimi jak ludzka mowa. Podstawowym ograniczeniem okazała się wzajemna widzialność – komunikacja była niemożliwa, jeśli na linii między komputerami pojawiały się fizyczne przeszkody.

Co można zrobić dysponując taką ukrytą kratową siecią akustyczną? Mimo skromnej przepustowości na poziomie 20 bit/s, całkiem wiele. Badaczom udało się m.in. uruchomić keyloggera, który przez taką akustyczną sieć przekazywał informacje o klawiszach naciśniętych na komputerze ofiary do napastnika znajdującego się w odległym miejscu. Możliwe było nawet połączenie się z Internetem przez specjalne proxy, a nawet tunelowanie protokołu GUWMANET/GUWAL przez TCP/IP, tak by połączyć między sobą sieci akustyczne w odległych miejscach. Autorzy artykułu sugerują nawet, że dzięki opisanej technice możliwe byłoby nawet złamanie dwuetapowego uwierzytelniania, przez przejęcie komunikacji sprzętowego dongle'a, czy też wykorzystanie zarażonych węzłów nie tylko jako routerów, ale też jako dostawców ukrytych usług dla takiej sieci.

Jak bronić się przed ukrytymi sieciami? Najprościej jest wyłączyć urządzenia audio, ale jeśli to niemożliwe, to konieczne będzie zastosowanie filtrów, które odcięłyby ultradźwiękowe sygnały. Już prosty filtr dolnoprzepustowy, włączony przez linuksowe API LADSPA, pozwolił na usunięcie dźwięków powyżej 18 kHz, uniemożliwiając komunikację w ukrytej sieci. Dlatego badacze postulują, że konieczne byłoby wprowadzenie w systemach operacyjnych zaufanego mechanizmu filtrowania dźwięków, który nadzorowałby to, co oprogramowanie robi na dźwiękowym wejściu i wyjściu. W najbardziej rozbudowanych wariantach mógłby to być kompletny system wykrywania włamań (IDS), reagujący na określone charakterystyki wykrytych sygnałów.

r   e   k   l   a   m   a
© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.