目前,有多种基于电磁、声学和光学侧信道的攻击手段来突破系统的物理隔离保护。然而,所有这些方法都受到数据速率和距离的限制,这些侧信道攻击的功能通常只是提供被盗数据的出站传输。因此,作者提出了一种新的侧信道攻击方法——LaserShark,将数据渗透到物理隔离的系统中。LaserShark不需要任何额外的硬件,它通过将激光对准已经内置的LED并记录其响应来实现长距离(25m)、双向和快速(18.2kbps输入和100kbps输出)隐蔽通信通道。这种方法可以用于任何在CPU的GPIO接口上操作LED的办公设备。攻击原理1.Side-ChannelDevices:顾名思义,LED就是为了发光而设计制造的。在办公设备中,主要用于指示设备的状态或实现显示功能。但是,电脑设备的LED灯可以作为接收器,从而建立双向通信通道。图1描述了作者攻击的主要原理。使用强聚焦激光束照射LED,LED灯会产生感应电流。如果此时设备正在操作通用I/O接口上的LED,则可以通过固件测量感应电流。相应的电压用于传输数据。设备LED指示灯闪烁,以便攻击者可以观察类似于用于聚焦激光的望远镜发出的光。双向传输只需要几百毫秒,所以攻击非常隐蔽。图1.使用设备LED的双向隐蔽通道示意图2.攻击条件:对于作者的攻击模型,假设通过软件供应链(“SolarWinds”:使用SolarWinds数字证书绕过验证,在休眠2周左右后会与第三方通信,根据返回的指令进行操作,包括传输文件、执行文件、重启系统等。这些通信将伪装成OrionImprovementProgram协议并将结果隐藏在众多合法的插件配置文件中以隐藏自身),例如,定期更新设备的固件可能会无意中添加必要的代码以通过内置的方式发送和接收数据在LED中。攻击者已知设备特征,例如内置LED和电路细节。最后,为了使攻击成功,需要直接视线来观察和驱动LED。为了读取和写入通用IO(GPIO)接口,通常需要系统权限,但攻击者既不需要物理访问设备,也不需要硬件所有者无意或有意地与设备交互。3.Exfiltratedata:相对于目标设备,攻击者完全可以自由选择必要的硬件在攻击者的隐蔽通道末端建立稳定的通信。虽然在成本和设备尺寸方面几乎没有上限,但攻击者通常使用现成的家庭电源移动消费组件来执行攻击。作者的攻击设备配置设置如图2所示。激光束的波长是攻击成功与否的关键,需要与目标LED的吸收范围相匹配。在图3的底部,作者展示了发射蓝色/紫色(左侧两个峰值)、绿色(中间峰值)和红色(最右侧峰值)的四种不同激光器的波长。这清楚地表明并非所有激光器都可用于将电流感应到任何二极管中。虽然蓝色和紫色激光可以很好地处理绿色,但这不适用于绿色手机的红色LED,但对于绿色激光,它的表现恰恰相反。有趣的是,红色激光只是拓宽了红色二极管的范围,而超出了绿色二极管的吸收范围。四个激光模块的功率差异很大,但都是商业上不受限制的,范围从5-150mW。小于5mW的常规激光模块被认为是1-3R类,光谱范围在405-980nm范围内。更强大的设备可以发射100毫瓦的功率,属于3B类,这是一种只能在固定波长下使用的激光,例如405纳米(紫色)、532纳米(绿色)和650纳米(红色)。雕刻激光属于4类。这些激光通常使用450纳米的波长。使用此类激光器可以连接的距离取决于聚焦激光束的能力以及在LED上产生的增加的光功率。使用的望远镜越好,距离越远。作为作者对数据穿透力评估的一部分,作者提供了不同光功率的测量结果。图2攻击者用于(a)数据泄露和(b)数据泄露的望远镜、激光器和示波器图3红色激光模块的吸收光谱和两个蓝色/紫色、一个绿色和发射光谱(底部)4.数据泄露:与生成高精度光束相比,攻击端对记录目标设备发出的光信号的专业要求较低。在最简单的情况下,带有消费者高速摄像头的现代智能手机就足够了。相机以每秒240帧的速度捕捉光线,允许适度的传输速率。此外,可以桥接的距离受相机灵敏度的限制。这两个方面都可以通过使用专用光学器件(例如类似于用于聚焦激光束的望远镜)和专用光传感器(例如光电探测器(PD))来改进。传统光电探测器的响应时间仅为几纳秒,并且具有宽光谱响应。然而,它们有限的灵敏度和小的活动区域使它们难以远距离捕获光信号。因此,为了测量极少量的光,作者使用了所谓的雪崩光电探测器(APD)。这些检测器产生强电场以提高对入射光的灵敏度。当光子撞击传感器时,该电场会加速电子,通过碰撞电离产生二次电子。由此产生的电子雪崩产生数百倍的增益因子,这种放大将探测器的可用带宽限制在100kHz。尽管如此,这种速度仍然大大超过了高速摄像机,并使作者能够超越现有的隐蔽通道。5.通信协议:将数据渗透到没有实时处理器的设备中需要使用简单而强大的调制技术。对于我们的攻击,我们使用了脉冲宽度调制(PWM)的变体:传输一个0位对应于一个短脉冲,而传输一个位对应于一个长脉冲,如图4(顶部)所示。该方案归功于上述采样策略。高值表示激光活动,低值表示关闭。激光非活动槽用于区分各个位。因此,可实现的数据速率取决于零位与一位的比率。在随后的实验中,作者考虑了最坏的情况(仅发送1个脉冲)来报告数据速率的下限。然而,对于过滤数据,作者并不局限于特定的采样策略,因为攻击者可以随意选择他/她在接收端的硬件。因此,在办公设备上,作者使用经典的开关键控(OOK)发送数据,其中高值编码一位,低值表示零位。每次传输的持续时间都是相同的t1位=t0位。图4.存在电容器时典型传输情况的总结根据定义,物理隔离的系统无法从外部穿透。然而,现在研究界已经证明这不一定是真的,并且已经展示了多种弥合差距的方法。虽然这些方法具有各种非常有创意的隐蔽通道,但由于低数据速率、短距离或仅单向通信,它们的实用性仍然值得怀疑。我们率先以18.2kbps的速度将数据泄露到未经修改的设备上,显着改进了相关方法。此外,我们还演示了在25m范围内以100kbps的速度进行数据过滤以建立双向通信通道。虽然直接视线是必要的,但我们不假设对设备进行任何前期硬件修改,并且与传统的VLC通信相比,我们不能在目标设备上使用任何光学器件,这使得这是一个特别具有挑战性的设置。相反,我们假设通过软件供应链进行初始妥协,类似于Solarwind和CodeCov发生的情况,并使用已经内置的LED。通过这种方式,我们表明隐蔽通道不仅限于模糊和罕见的设置,而且实践中的真正威胁。参考翻译自:NiclasKühnapfel、PreulerS、NoppelM等。LaserShark:在气隙系统中建立快速双向通信[J].2021.
