一般情況下���,物理隔離是最為保守也是最為保險的網(wǎng)絡(luò)安全防護(hù)措施之一,入侵物理隔離網(wǎng)絡(luò)的難度要遠(yuǎn)大于非物理隔離網(wǎng)絡(luò)���,而要想從物理隔離網(wǎng)絡(luò)中向外導(dǎo)出數(shù)據(jù),成功地實現(xiàn)竊密����,則更是難上加難。然而����,隨著網(wǎng)絡(luò)攻擊技術(shù)的不斷發(fā)展,一些從物理隔離網(wǎng)絡(luò)中竊取數(shù)據(jù)的跨網(wǎng)滲透技術(shù)初現(xiàn)端倪���,其“隔空取數(shù)”的構(gòu)思之巧妙�、手段之高明��,超出了常人想象�����。
物理隔離網(wǎng)絡(luò)竊密技術(shù)是通過采取各種手段措施���,將被隔離計算機中的數(shù)據(jù)轉(zhuǎn)換為聲波��、熱量��、電磁波等模擬信號后發(fā)射出去��,在接收端通過模數(shù)轉(zhuǎn)換后復(fù)原數(shù)據(jù)���,從而達(dá)到竊取信息的目的�����。
目前有哪些跨網(wǎng)竊密技術(shù)��?
一���、利用設(shè)備發(fā)熱量跨網(wǎng)竊密
以色列本古里安大學(xué)的研究人員設(shè)計出了名為“Bitwhisper”的竊密技術(shù),幫助攻擊者與目標(biāo)系統(tǒng)通過檢測設(shè)備發(fā)熱量建立一條隱蔽的信道竊取數(shù)據(jù)。其基本原理是:利用發(fā)送方計算機受控設(shè)備的溫度升降來與接收方系統(tǒng)進(jìn)行通信,然后后者利用內(nèi)置的熱傳感器偵測出溫度變化���,再將這種變化轉(zhuǎn)譯成二進(jìn)制代碼����,從而實現(xiàn)兩臺相互隔離計算機之間的通信。
二�、利用設(shè)備電磁輻射跨網(wǎng)竊密
一種利用設(shè)備電磁輻射從物理隔離網(wǎng)絡(luò)中提取數(shù)據(jù)的方法,其基本原理是向目標(biāo)計算機發(fā)送一段經(jīng)過精心設(shè)計的密文,當(dāng)目標(biāo)計算機在解密這些密文時�����,就會觸發(fā)解密軟件內(nèi)部某些特殊結(jié)構(gòu)的值���。這些特殊值會導(dǎo)致計算機周圍電磁場發(fā)生比較明顯的變化,攻擊者可以利用智能手機等設(shè)備接收這些電磁場波動���,并通過信號處理和密碼分析反推出密鑰��。試驗結(jié)果表明����,研究人員在短短幾秒內(nèi)就可成功提取到不同型號計算機上某一軟件的私有解密密鑰���。
三��、利用風(fēng)扇噪聲跨網(wǎng)竊密
以色列本古里安大學(xué)的研究人員開發(fā)出了一種名為“Fansmitter”的竊密軟件�,其基本原理是:在目標(biāo)計算機上安裝這一軟件�����,控制目標(biāo)計算機風(fēng)扇以兩種不同的轉(zhuǎn)速旋轉(zhuǎn),并以此產(chǎn)生不同頻率的噪音���,分別對應(yīng)二進(jìn)制代碼中的0和1�����,然后利用這些噪聲來竊取數(shù)據(jù)����。這一技術(shù)可以控制處理器或機箱的風(fēng)扇�,并在1—4米內(nèi)有效,可讓智能手機或?qū)iT的錄音設(shè)備記錄風(fēng)扇噪音��。由于目前大多數(shù)計算機和電子設(shè)備都配備有散熱風(fēng)扇����,所以從某種程度上來說,這類設(shè)備都存在遭到這一技術(shù)攻擊的風(fēng)險���。
四����、利用硬盤噪音跨網(wǎng)竊密
以色列本古里安大學(xué)的研究人員還開發(fā)出了一種名為“DiskFiltration”的軟件����,想辦法在目標(biāo)計算機上安裝并運行這一竊密軟件��,當(dāng)找到密碼���、加密密鑰以及鍵盤輸入數(shù)據(jù)等有用數(shù)據(jù)后,就會控制硬盤驅(qū)動器機械讀寫臂運行產(chǎn)生特定的噪音�,通過接收處理這些噪音信號就可提取相應(yīng)的數(shù)據(jù)。
五����、利用USB設(shè)備跨網(wǎng)竊密
“USBee”竊密軟件���,不需要改裝USB設(shè)備就可實現(xiàn)跨網(wǎng)竊密����。這一軟件像是在不同花朵之間往返采蜜的蜜蜂一樣����,可以在不同的計算機之間任意往返采集數(shù)據(jù),因此得名“USBee”���。該竊密軟件通過控制USB設(shè)備向外發(fā)送240—480MHz范圍內(nèi)調(diào)制有重要數(shù)據(jù)的電磁輻射信號�,附近的接收器讀取并解調(diào)后即可得到這些重要信息。
對網(wǎng)絡(luò)安全防護(hù)工作有何啟示
上述幾種新型物理隔離網(wǎng)絡(luò)竊密技術(shù)���,展示了攻擊者的高超技巧����,在令人大開眼界的同時��,也給我們帶來很多啟示����。
啟示一:再次證明網(wǎng)絡(luò)安全是相對的不是絕對的
上述幾種新型物理隔離網(wǎng)絡(luò)竊密技術(shù)的出現(xiàn)再次證明,任何網(wǎng)絡(luò)安全技術(shù)���、措施和手段帶來的安全性都是相對的����,因此����,沒有絕對安全的網(wǎng)絡(luò)。 “震網(wǎng)”病毒成功攻擊伊朗核電站事件和上述已經(jīng)公開披露的新型物理隔離網(wǎng)絡(luò)竊密技術(shù)����,已經(jīng)徹底打破一些人認(rèn)為的“物理隔離絕對安全”的幻想����。
啟示二:高度警惕跨網(wǎng)竊密威脅物理隔離網(wǎng)絡(luò)安全
通過剖析上述跨網(wǎng)竊密技術(shù)表明���,流量監(jiān)控����、入侵檢測�����、防火墻等傳統(tǒng)安全技術(shù)����、手段和措施��,因為針對的攻擊機理不同����,已經(jīng)難以應(yīng)對此類新型威脅。這些公開披露的技術(shù)雖仍停留在實驗階段�,但作為國家級間諜使用工具、投入巨資秘密研發(fā)的類似跨網(wǎng)竊密技術(shù)���,很可能已經(jīng)實用化并投入實際運用��。2013年�����,美國國家安全局工作人員就曾公開披露過正在研究類似USBee這樣的高端攻擊工具�����,時至今日可能早已掌握這種新型技術(shù)����。
啟示三:采取針對性的措施可以有效防御跨網(wǎng)滲透
上述物理隔離網(wǎng)絡(luò)竊密技術(shù)在理論上是完全可行的,也得到了實驗驗證��,但在實際運行操作中�,仍然有諸多限制條件,只要有針對性地采取相應(yīng)措施��,就可以大幅減少此類技術(shù)的威脅����。例如,一些重要內(nèi)部網(wǎng)絡(luò)由于管理不嚴(yán)���,雖然實施了物理隔離�����,但并沒有實現(xiàn)完全的信息隔離�����,仍存在著使用移動存儲設(shè)備由外網(wǎng)向內(nèi)網(wǎng)單向傳遞軟件�、數(shù)據(jù)的現(xiàn)象。如果嚴(yán)格實行完全的信息隔離�,攻擊者無法在目標(biāo)計算機上感染惡意軟件并操縱其發(fā)出攜帶涉密信息的模擬信號,就構(gòu)不成跨網(wǎng)竊密的現(xiàn)實條件���。此外���,在計算機中使用水冷系統(tǒng)替代風(fēng)扇散熱�,可完全防范利用風(fēng)扇噪聲竊密技術(shù);給計算機換上非機械結(jié)構(gòu)的固態(tài)硬盤��,利用硬盤噪音竊密方法就會完全失效�;在物理隔離設(shè)備附近使用信號干擾器或禁止使用手機等,可有效防止攻擊者接收來自物理隔離設(shè)備發(fā)出的泄密信號等����。
啟示四:必須加強監(jiān)控物理隔離網(wǎng)絡(luò)無人值守終端
上述物理隔離網(wǎng)絡(luò)竊密技術(shù)�,通常需要在較近的距離才能實現(xiàn)模擬信號的穩(wěn)定收發(fā)�����,而一些重要核心網(wǎng)絡(luò)的計算機終端通常處于安保措施比較嚴(yán)格的封閉場所內(nèi)��,提升了接觸式攻擊的成本和難度�����,只要內(nèi)部人員管控到位�����,遭受跨網(wǎng)攻擊的風(fēng)險就相對較小�。