1.跨网攻击与防护概述(一)利用载体跨网窃取以移动存储介质为载体,利用人员在涉密计算机与联网计算机之间交叉使用移动存储的行为媒介是一个突破口。它将“摆渡”木马病毒传播到计算机和移动存储介质,收集特定信息,加密存储在移动存储介质中,当用户再次插入连接到互联网的计算机时,木马病毒将信息发送到移动存储介质。返回给攻击者。例如,2013年,美国国家安全局的一名工作人员公开演示了如何通过改装的USB设备窃取目标计算机的数据。在此基础上,一家以色列科技公司发明了一款名为“USBee”的窃密软件,可以在不修改USB设备的情况下跨网络窃密。这个软件可以随意在不同电脑之间来回采集数据。其基本原理是:窃取软件控制USB设备发出240-480MHz范围内用重要数据调制的电磁辐射信号,附近的接收器可以读取并解调重要信息,从而获取重要信息。其传输速率约为每秒80字节,10秒内可窃取长度为4096位的密钥。在普通USB设备上,传输距离约为2.7米。由于有线USB设备可以使用线缆作为天线,攻击距离可以扩展到8米左右。该技术可以直接使用USB内部数据总线实现信号的发送和接收,无需对设备进行任何硬件修改,几乎可以运行在任何符合USB2.0标准的USB设备上。图1水蛇攻击设备对策:严格执行保密规定,加强对移动存储介质和涉密计算机的管理,对涉密信息进行加密存储。同时,涉密计算机安装保密管理系统和安全软件,及时更新,定期查毒。(2)利用电力线通过网络窃密,将带有“后门”的核心部件(如芯片)预先植入电子设备中。当设备运行时,植入的“间谍”会主动捕捉“指令”,并将信息以特殊电信号的形式传回电网。需要注意的是,这种方式不仅可以获取用户输入的信息,还可以获取用户存储在电脑上的其他数据,此外,由于电力信号的参数可以被“间谍”控制,这种方式大大增加了攻击者的探测距离。本古里安大学的研究人员以色列的Negev一直致力于通过旁道攻击窃取计算机数据,其2018年公开的研究成果PowerHammer就是通过电力线传播的电流波动来秘密窃取高度敏感的数据。电源线本来就是为电器设备供电的必备线路,电源线上产生的电流会随着负载的耗电量而波动。正是由于这一特性,电源线的电流波动成为了攻击者的目标。通过这种看似“正常”的细微变化,从计算机获取敏感信息的操作,彻底颠覆了人们对电力线的认知,也让人们开始重视电力线的安全防护。图2PowerHammer攻击设备防御对策:① 电力线检测:通过监测电力线上的电流来检测隐蔽传输。对测量结果的连续分析可以揭示隐藏的传输模式或其操作与标准行为的偏差。② 信号滤波:在主配电柜的电源线上接入电源线滤波器(EMI滤波器),限制隐藏通道产生的信号。为防止线路级电击攻击,必须在每个电源插座上安装此类滤波器。③ 采用国产自主研发的核心元器件,或采用保密电源,加装电源保护设备,对重要敏感数据信息进行加密处理。(3)利用声音跨网窃取以色列本古里安大学研究人员开发的基于风扇噪音的利用声音跨网窃取软件“Fansmitter”和基于硬盘读取的“DiskFiltration”窃取软件的典型代表和写噪音。Fansmitter的原理是:在目标电脑上安装这个软件,控制目标电脑风扇(图3中的A)以两种不同的速度旋转,产生不同频率的噪音,对应二进制码中的0和1,以及然后利用这种噪音来窃取数据。目前这项技术可以控制处理器或机箱的风扇,在1-4米范围内有效。可以使用智能手机(图3中的B)或特殊录音设备记录风扇的噪音。由于当今大多数计算机和电子设备都配备了冷却风扇,因此此类设备在一定程度上存在被该技术攻击的风险。DiskFiltration的基本原理是:在目标计算机上安装并运行这个窃取软件,当发现密码、加密密钥、键盘输入数据等有用数据时,就会控制磁盘的机械读写臂运行。硬盘驱动器产生特定的噪音。通过接收和处理这些噪声信号可以提取相应的数据。目前该技术的有效工作距离仅为6英尺,传输速率为每分钟180位,25分钟内可窃取长度为4096位的密钥。该窃取软件还可以运行在智能手机或其他具有录音功能的智能设备上。它会监听某个频段的音频信号,并以每分钟180比特的速度分析音频信号中的数据,有效距离最远2米。图3针对Fansmitter攻击场景的对策:将电脑更换为非机械固态硬盘,利用硬盘噪音窃密的方法将完全失效;在物理隔离的设备附近使用信号干扰器或禁止使用手机,可以有效防止攻击者接收物理隔离设备的泄漏信号等。(4)利用电磁跨网窃取以色列特拉维夫大学的研究人员展示了一种方法使用设备的电磁辐射从物理隔离的网络中提取数据。基本原理是:将精心设计的密文发送到目标计算机。当目标计算机对这些密文进行解密时,会触发解密软件内部一些特殊结构的取值。这些特殊值会引起计算机周围的电磁场发生比较明显的变化。攻击者可以利用智能手机等设备接收这些电磁场波动,通过信号处理和密码分析推导出密钥。此外,在2015年美国“黑帽”黑客大会上,研究人员还展示了一种名为“Funtenna”的秘密窃取技术,其基本原理与上述方法类似。攻击者首先在打印机、办公电话或计算机等目标设备中安装恶意软件。该恶意软件控制目标设备的电路以预设频率发出电磁辐射信号。攻击者可以使用无线电天线接收这些信号并将它们转换为数据。当然,这个距离不能相隔太远,否则信号衰减会导致数据传输错误。该技术可以将任何孤立的电子设备变成信号发射器,向外传输数据,从而规避网络流量监控、防火墙等传统安全保护措施的检测。预防措施:使用防电磁辐射泄漏或低电磁辐射泄漏的电子设备;为电子设备安装电磁屏蔽设施设备(如:屏蔽室、屏蔽罩)。;使用干扰器。(5)利用热量跨网络窃密如图2所示,计算机在运行时,CPU、显卡等主板部件会散发出一定的热量,根据工作量的大小,电脑会产生不同程度的热量。为了监控温度,计算机内置了一系列热传感器,可以检测温度波动并启动相应的内置风扇,甚至强制关机以避免损坏设备。研究人员基于对计算机冷却及其内置传感器的研究开发了一种名为BitWhisper的攻击。通过这种方法,攻击者可以直接向物理隔离的计算机系统发送指令或窃取数据。工作过程如下:首先,双方的计算机系统需要提前被恶意程序感染。然后发送计算机通过调节自身温度与接收计算机通信,使用内置的热传感器检测温度变化并将其转换为“0”和“1”。图4主板元器件发热防范措施:对涉密计算机进行严格的物理隔离,对使用的载体介质进行严格监控,防止恶意程序感染,可以有效阻断此类攻击。2.小结跨网攻击再次证明网络安全是相对的而不是绝对的。网络窃取和反窃取技术总是在游戏中动态发展、潮起潮落。上述新型跨网攻击技术的出现再次证明,任何网络安全技术、措施和手段所带来的安全都是相对的。因此,没有绝对安全的网络。同时,我们需要高度警惕威胁物理隔离网络安全的跨网络攻击。通过对上述跨网络攻击技术的分析表明,新型跨网络攻击手段隐蔽性强,可以在不知情的情况下获取物理隔离网络上的重要信息。由于攻击机制不同,传统方法已经难以应对此类新威胁。此外,采取有针对性的措施,可以有效防止跨网渗透。上述跨网攻击技术在理论上是完全可行的,并经过实验验证。但是在实际操作中,还是有很多限制。只要有针对性地采取适当的措施,就可以大大降低此类技术的威胁??。最后,需要加强对物理隔离网络的监控。上述跨网络攻击技术通常需要较短的距离才能实现模拟信号的稳定传输和接收,而一些重要核心网络中的计算机终端通常位于安全措施相对严格的密闭场所。考虑到接触式攻击的成本和难度,只要内部人员管控到位,跨网攻击的风险就比较小。参考文献[1]美国网络空间攻击与主动防御能力分析——用于突破物理隔离的网络空间攻击装备[J].网络军事整合,2018,0(5):47-48.[2]陈天天.以色列本古里安大学突破物理隔离的网络攻击方法综述[J].中国安防,2022(Z1):117-126.[3]谭定伟.物理隔离环境下基于音频的隐蔽通信关键技术研究[J].D].国防科技大学,2019.DOI:10.27052/d.cnki.gzjgu.2019.001011.[4]王冲,王秀丽,陆银润,张长友,吴敬政,关北,王永吉.隐蔽通道分类新方法及威胁限制策略[J].软件学报,2020,31(01):228-245.DOI:10.13328/j.cnki.jos.005878.[5]刘文斌,丁建峰,寇云峰,王梦涵,宋涛.物理隔离网络的电磁脆弱性研究[J].强激光与粒子束,2019,31(10):90-94.[6]李静,范小娇,肖洒,郭海波.对抗物理隔离攻击的安全防护技术研究[J].兵器装备工程学报,2022,43(08):216-222.[7]马成振,秋阳,郑洪鹏。计算机显示系统电磁信息泄漏分析[C]//.第28届全国电磁兼容学术会议论文集.[出版者不详],2022:39-43.DOI:10.26914/c.cnkihy.2022.028627.
