Upload
code-blue
View
93
Download
2
Embed Size (px)
Citation preview
Air-Gap されたネットワークをブリッジする
Primary Author: Mordechai GuriPresenter co-author: Yisroel Mirsky
Supervisor: Prof. Yuval Elovici
Air-Gap なネットワークとは?
ネットワークの典型的なセキュリティ確保
Air-Gap なアプローチ
定義:Air-gap とは、コンピューターネットワークのセキュティ確保のために他のネットワーク、公のインターネット、セキュアでは無いネットワークと物理的に隔離するサイバーセキュティ策を指す。
Air-Gap なネットワーク インターネット
Air Gap
Air-gap なネットワークの例:
• 軍事的防衛システム• 金融系システム ( 株式市場 )• 工業系制御システム (SCADA…)• 重要基幹インフラ
• 電力発電所• 精製所• 交通コントロール - 空港
• 指令センター• コンピュータ制御系医療器具• … など
Air-Gap なネットワーク… 完璧な策ではない
攻撃主体にようる攻撃モデル
初期感染 Infection
攻撃の展開
初期感染悪意のある・騙された
インサイダー
感染された媒体
サプライチェーン攻撃
攻撃の展開• 機密情報の搾取• 制御系システムの改
変• 記録の削除• サブシステムの停止• DDoS• 自滅
初期感染後、 air-gap をどうする?Air-gap なネットワーク インターネット
Air Gap
アウトバウンド
インバウンド
インバウンド・アウトバウンドチャンネルの使い方 Channels
インバウンド• コマンドの送信
• 攻撃の制御の柔軟性を持つ• “ いつ”攻撃を展開するか
• マルウェアの更新• 新しいモジュール• 改修…• 暗号キーの変更
アウトバウンド• 搾取
• 記録された情報の受信• レポート
• コマンドの受信確認• ネットワーク内での動きの
進捗情報
Air-Gap なネットワーク
のブリッジ方法
温系チャンネル
無線系チャンネル
音響系チャンネル
光学系チャンネル
温系チャンネル
HVACKer の紹介• 最近の PC には温度センセーが組み込まれてい• これらのセンサーは環境の温度変化を検知するた
めに使われている• 隔離されたネットワークの室温を変えることで
PC との通信が可能になる
Q: どのようにして室温を変えること が可能?A: 空調システムをハック !• Air-gap されたネットワークとセキュア
では無いネットワークが重なり合っている可能性はある。
• 例として HVAC( 空調管理システム)があげられる。
多くの HVAC はリモート管理のためのポータルを提供している。
例: Tridium Niagara AX platform
There are• 36,287 の
Niagara ウェブポータルが公開されている
• うち、 269 だけが HTTPS で守られている。
攻撃モデル
インバウンド
隔離されたネットワーク
インターネット受
信機
Air Gap
通信プロトコル L1/L2
高次元プロトコル例
実験条件
• 小さなオフィスシナリオ
• 40 bits/hour
内部干渉は?
内部干渉は?
HVACKER - 対策
• HVAC 系ウェブポータルの停止・セキュリティ確保を行う
• 環境温度の監視• マルウェアの署名
Bitwhisper の紹介• コンピュータは環境へ熱を放出す• コンピュータは環境温度の変化を検知が出
来る。
… 隣同士にあるコンピュータ間で双方向な通信チャンネルを確立しよう。
でもなぜ? ...• 時として Air-gap されたコンピュータの近辺につながった
端末がある場合がある 例 : 共有コンピュータ空間
• 2つのエンドポイントをつないだ温系チャンネルを使って攻撃者は指令の送信と情報の受信が可能
• VM 内からの実行が可能
攻撃モデル隔離された
ネットワーク
インターネットAir Gap
インバウンド
アウトバウンド
熱伝導プロセス
我々が実験した環境
テストを行った Thermal Line のエンコーディング
BitWhisper - 対策
• Air-gap 端末は他のネットワークから距離を持って隔離する
• 強めの空調• マルウェア署名 (API calls…)• 環境の感知
ビデオデモ
Air-Gap なネットワーク
のブリッジ方法
温系チャンネル
無線系チャンネル
音響系チャンネル
光学系チャンネル
音響系チャンネル
概要隠れた音響メッシュネットワーク発信器 : スピーカー - 超音波受信機 : マイク ( ラップトップ、スマートフォン… )
攻撃モデル
Air Gapインバウンド
アウトバウンド
音響メッシュ - 対策• 超音波ノイズ発信• 厳密はゾーンポリシー
音響チャンネル
概要Fansmitter: スピーカーの無い、 Air-gapされた端末から音響系データ搾取を行う発信器 : PC の冷却ファン –( 電源サプライ、 CPU 、ケース … )受信機 : マイク– ( ラップトップ , スマートフォン… )
なぜ、 Fansmitter は興味深いのか ?
スピーカーの無い端末も音響系発信器としてのエキスプロイトが可能!
攻撃モデルアウトバウンド
Air Gap
変調ケーパビリティ :8メートルの距離において毎分 15 ビット
搬送波周波数は2つの要素に依存:1) ファンの回転速度 (rpm)2) 翼通過周波数 (bpf)
通常の7刃ファンの RPM-BPF 関係
プログラムとしては• Bios レベルの Rootkit• ドライバー / OS API – ( より現実的 )
e.g., WMI – Windows management interface
Fansmitter - 対策
音響系チャンネル
概要スピーカーを内蔵しない Air-gap 端末からハードディスクノイズを使って秘密裏に情報搾取を
行う発信器 : ハードドライブ 受信機 : マイク– ( ラップトップ , スマートフォン… etc)
攻撃モデル
アウトバウンド
Air Gap
どのように行われるか ?音響ソース
• モータ• アクチュエータ
スペクトグラム
The write and seek operations generate the best signal
変調
レート : 180 bits/ 毎分距離 : 2 メートル
Diskfiltrator - 対策
音響系チャンネ
ル
Air-Gap なネットワーク
のブリッジ方法
温系チャンネル
無線系チャンネル
音響系チャンネル
光学系チャンネル
光学系チャンネル
概要インジケータライトは
情報を流している !発信器 : デバイスの LED受信機 : カメラ , センサー ,…光の発散による情報漏えいJOE LOUGHRY, and DAVID A. UMPHRESS
LED を能動的に使ってデータの搾取を行った
ら ?
攻撃モデル
Air Gap
アウトバウンド
画像トラッキングのために CV を開始する
Tempest - 対策• ゾーンポリシー• マルウェアの署名 (OS API 経由な
ら )• テープを貼る !
光学系チャンネル
概要スキャナーを使って Air-gap をブリッジす
る
オフィススキャナーは光の発受信が可能…… これを使ってエキ
スプロイトできるか ?
攻撃モデル
Air Gap
光学系チャンネ
ル
概要光学系チャンネルを使って秘密裏に情報搾取を行う
発信器 : LCD/LED スクリーン受信機 : ビデオレコーダ : 電話 , Google グラス…
攻撃シナリオ
OR
OR
OR…
OR…
Air Gapア
ウト
バウ
ンド
実験条件40 名のボランティアが”不可視境界値”を検知ビデオデバイス :Simple DSLRPro DSLRGoProWebcamSmartphoneGoogle Glass
VisiSploit - 対策• ゾーンポリシー ( 誰、どのデバイスが何処へア
クセスが可能か )• Malware 署名 (DLL の検知を行う !)
Air-Gap なネットワーク
のブリッジ方法
温系チャンネ
ル
無線系チャンネル
音響系チャンネ
ル
光学系チャンネル
無線系チャンネル
AirHopper の紹介• 多くの仕事場は BYOD ポリシーを持つ• スマートフォンを使っての無線信号の受信が
可能• 通常の PC に無線信号の発信を可能にすれば
アウトバウンドなチャンネルの構築が可能
攻撃モデル
Air Gap
アウトバウンド
最大の課題
アンテナの原理とは ?• アンテナは端末からの電圧の発振よって電波を
発生する。• 電波は周波数(電気振動 Hz) と振幅(電圧レベ
ル値 dBm) で表される
電波の発生の仕方は…… ディスプレイからケーブルに対して特定の信号を発振させる
バイナリーデータのアナログFM への変調
実験結果
AirHopper - 対策• 厳密なゾーン規制 : ディスプレイがある Air-gap なコン
ピュータの近く20メートル以内でのスマートフォンの禁止
• 絶縁 : ディスプレイのケーブルをよりよく遮蔽する .• ジャミング : 87.5-108 MHz バンドでの電波ノイズを派
生する。• 署名 : 関連するグラフィック改変のスキャンを行う
GSMem - 紹介• フィーチャーフォン (wifi,bluetooth などの機能の無い
携帯… ) は規制されたエリアへの持ち込みが可能 .• フィーチャーフォンを使えば移動体通信系の電波
等の受信が可能 .• 通常のコンピュータの CPU メモリバスをエキス
プロイトすることで移動体通信系の信号の発振が可能
攻撃モデル
隔離されたネットワーク
アウトバウンド
GSMem の挙動発信器 受信機
信号の発信• 観察 1: CPU-RAM 間の大量な通
信によって発振する電圧が発生 . –キャッシュをバイパス
• 観察 2: バスは FBS 速度で転送を行い 800MHz の周波数を発生させる
ビットを送る ( 変調 )ビットを送信するには B-ASK の変種を使う :
Send(“0”):T 秒間は何も行わない
Send(“1”):振幅を T 秒間上げる
すべてのビットをフレーム内に収納する
発信器の属性• たった4 KB のメモリー上のでの
負荷• root/admin が不要• API は使わない• Intel と AMD 環境が対象…• Windows/Linux で動く…
信号の受信素の信号(我々の変調)を読み取るためにはベースバンドチップのファームウェアの改修が必要。
しかし、モチベーションが高く才能のある脅威主体にはこのことは決して抑止力にはならない … 過去にも例が有るように .
我々のテストではオープンソースのベースバンドソフト (OsmocomBB) と互換性がある Motorola C123 GSM 携帯を使った。
高度な分析のためには Universal Software Radio Peripheral (USRP B210) を使用した。
ビットの受信など:とても簡単なアプローチ :1. ” 最良”の周波数で待つ2. プリアンブル‘ 1010’ の検索を行う ( 各ビットは T
秒間 )• 閾値に基づく ( ダイナミックに変わる )
3. プリアンブルが見つかれば12ビットのペイロードを抽出
実験結果
• チャンネルの数だけ力が増える !
• 向きによって結果が変わる
GSMem - 対策• 干渉• 遮蔽• 厳密なゾーン規則• 署名
概要USB から発生す電磁波を使った秘
密裏な Air-gap チャンネル2014: Edward Snowden によって
NSA の COTTONMOUTH が漏えい
USBee: 追加ハードウェア不要の秘密裏な USB 通信
攻撃モデル
Air Gap
アウトバウンド
USB デバイスに対して’ 0’ ビットのシーケンスを送ると 240MHz と 480MHz の間で検知可能
な信号が発振される。USBee は B-
FSK エンコーディングを使ってデータの変調
を行うバイナリーに関しては NRZI エンコーディングで USB デバイスに書き込まれる
Host 上のマルウェアは USB への特殊な権限を必要としない !
実験結果距離 : ケーブル有り – 9mケーブル無し – 4mデータレート : 毎秒 80 バイト
USBee - 対策• 電磁波遮断• 距離を置くポリシー• 妨害• マルウェア検知 : /
Air-Gap なネットワーク
のブリッジ方法
温系チャンネ
ル
無線系チャンネル
音響系チャンネ
ル
光学系チャンネル
このような”斬新”な攻撃に関して心配しなければいけない状況とは ?
“ 切羽が詰まった状況では思い切った手法が必要”
Air-gap ネットワークが…• APT の攻撃対象になりうる場合• 内部犯による活動• 規制対象エリアに訪問者が考えられう場合
もっとも現実性が高い攻撃
電磁波による情報搾取 : GSMem, AirHopper, USBee
検知が難しく、攻撃者に取っては容易に実装と実行が可能
結論要約 :• Air-gap をブリッジする4つのタイプのチャンネルの可
能性を指摘しました。• 注意点 : 前提条件として対象ネットワークは以前にすで
に侵害されている !要点 :• Air-gap されているからとしても必ずしも隔離されてい
るとは言えない。• すべての人が標的とは言えない !• ネットワークの機密性から標的になりうるとするならば、
用心すべき(ゾーニング等)
ご清聴ありがとうございました !
質問 ?