Air-Gap されたネットワークをブリッジする

Primary Author: Mordechai GuriPresenter co-author: Yisroel Mirsky

Supervisor: Prof. Yuval Elovici

Air-Gap なネットワークとは？

ネットワークの典型的なセキュリティ確保

Air-Gap なアプローチ

定義：Air-gap とは、コンピューターネットワークのセキュティ確保のために他のネットワーク、公のインターネット、セキュアでは無いネットワークと物理的に隔離するサイバーセキュティ策を指す。

Air-Gap なネットワーク インターネット

Air Gap

Air-gap なネットワークの例：

• 軍事的防衛システム• 金融系システム ( 株式市場 )• 工業系制御システム (SCADA…)• 重要基幹インフラ

• 電力発電所• 精製所• 交通コントロール - 空港

• 指令センター• コンピュータ制御系医療器具• … など

Air-Gap なネットワーク… 完璧な策ではない

攻撃主体にようる攻撃モデル

初期感染 Infection

攻撃の展開

初期感染悪意のある・騙された

インサイダー

感染された媒体

サプライチェーン攻撃

攻撃の展開• 機密情報の搾取• 制御系システムの改

変• 記録の削除• サブシステムの停止• DDoS• 自滅

初期感染後、 air-gap をどうする？Air-gap なネットワーク インターネット

Air Gap

アウトバウンド

インバウンド

インバウンド・アウトバウンドチャンネルの使い方 Channels

インバウンド• コマンドの送信

• 攻撃の制御の柔軟性を持つ• “ いつ”攻撃を展開するか

• マルウェアの更新• 新しいモジュール• 改修…• 暗号キーの変更

アウトバウンド• 搾取

• 記録された情報の受信• レポート

• コマンドの受信確認• ネットワーク内での動きの

進捗情報

Air-Gap なネットワーク

のブリッジ方法

温系チャンネル

無線系チャンネル

音響系チャンネル

光学系チャンネル

温系チャンネル

HVACKer の紹介• 最近の PC には温度センセーが組み込まれてい• これらのセンサーは環境の温度変化を検知するた

めに使われている• 隔離されたネットワークの室温を変えることで

PC との通信が可能になる

Q: どのようにして室温を変えること 　が可能？A: 空調システムをハック !• Air-gap されたネットワークとセキュア

では無いネットワークが重なり合っている可能性はある。

• 例として HVAC( 空調管理システム）があげられる。

多くの HVAC はリモート管理のためのポータルを提供している。

例： Tridium Niagara AX platform

There are• 36,287 の

Niagara ウェブポータルが公開されている

• うち、 269 だけが HTTPS で守られている。

攻撃モデル

インバウンド

隔離されたネットワーク

インターネット受

信機

Air Gap

通信プロトコル L1/L2

高次元プロトコル例

実験条件

• 小さなオフィスシナリオ

• 40 bits/hour

内部干渉は？

内部干渉は？

HVACKER - 対策

• HVAC 系ウェブポータルの停止・セキュリティ確保を行う

• 環境温度の監視• マルウェアの署名

Bitwhisper の紹介• コンピュータは環境へ熱を放出す• コンピュータは環境温度の変化を検知が出

来る。

… 隣同士にあるコンピュータ間で双方向な通信チャンネルを確立しよう。

でもなぜ？ ...• 時として Air-gap されたコンピュータの近辺につながった

端末がある場合がある 例 : 共有コンピュータ空間

• ２つのエンドポイントをつないだ温系チャンネルを使って攻撃者は指令の送信と情報の受信が可能

• VM 内からの実行が可能

攻撃モデル隔離された

ネットワーク

インターネットAir Gap

インバウンド

アウトバウンド

熱伝導プロセス

我々が実験した環境

テストを行った Thermal Line のエンコーディング

BitWhisper - 対策

• Air-gap 端末は他のネットワークから距離を持って隔離する

• 強めの空調• マルウェア署名 (API calls…)• 環境の感知

ビデオデモ

Air-Gap なネットワーク

のブリッジ方法

温系チャンネル

無線系チャンネル

音響系チャンネル

光学系チャンネル

音響系チャンネル

概要隠れた音響メッシュネットワーク発信器 : スピーカー　 - 　超音波受信機 : マイク ( ラップトップ、スマートフォン… )

攻撃モデル

Air Gapインバウンド

アウトバウンド

音響メッシュ - 対策• 超音波ノイズ発信• 厳密はゾーンポリシー

音響チャンネル

概要Fansmitter: スピーカーの無い、 Air-gapされた端末から音響系データ搾取を行う発信器 : PC の冷却ファン –( 電源サプライ、 CPU 、ケース … )受信機 : マイク– ( ラップトップ , スマートフォン… )

なぜ、 Fansmitter は興味深いのか ?

スピーカーの無い端末も音響系発信器としてのエキスプロイトが可能！

攻撃モデルアウトバウンド

Air Gap

変調ケーパビリティ :８メートルの距離において毎分 15 ビット

搬送波周波数は２つの要素に依存：1) ファンの回転速度 (rpm)2) 翼通過周波数 (bpf)

通常の７刃ファンの RPM-BPF 関係

プログラムとしては• Bios レベルの Rootkit• ドライバー / OS API – ( より現実的 )

e.g., WMI – Windows management interface

Fansmitter - 対策

音響系チャンネル

概要スピーカーを内蔵しない Air-gap 端末からハードディスクノイズを使って秘密裏に情報搾取を

行う発信器 : ハードドライブ 受信機 : マイク– ( ラップトップ , スマートフォン… etc)

　攻撃モデル

アウトバウンド

Air Gap

どのように行われるか ?音響ソース

• モータ• アクチュエータ

スペクトグラム

The write and seek operations generate the best signal

変調

レート : 180 bits/ 毎分距離 : 2 メートル

Diskfiltrator - 対策

音響系チャンネ

ル

Air-Gap なネットワーク

のブリッジ方法

温系チャンネル

無線系チャンネル

音響系チャンネル

光学系チャンネル

光学系チャンネル

概要インジケータライトは

情報を流している !発信器 : デバイスの LED受信機 : カメラ , センサー ,…光の発散による情報漏えいJOE LOUGHRY, and DAVID A. UMPHRESS

LED を能動的に使ってデータの搾取を行った

ら ?

攻撃モデル

Air Gap

アウトバウンド

画像トラッキングのために CV を開始する

Tempest - 対策• ゾーンポリシー• マルウェアの署名 (OS API 経由な

ら )• テープを貼る !

光学系チャンネル

概要スキャナーを使って Air-gap をブリッジす

る

オフィススキャナーは光の発受信が可能…… これを使ってエキ

スプロイトできるか ?

攻撃モデル

Air Gap

光学系チャンネ

ル

概要光学系チャンネルを使って秘密裏に情報搾取を行う

発信器 : LCD/LED スクリーン受信機 : ビデオレコーダ : 電話 , Google グラス…

攻撃シナリオ

OR

OR

OR…

OR…

Air Gapア

ウト

バウ

ンド

実験条件40 名のボランティアが”不可視境界値”を検知ビデオデバイス :Simple DSLRPro DSLRGoProWebcamSmartphoneGoogle Glass

VisiSploit - 対策• ゾーンポリシー ( 誰、どのデバイスが何処へア

クセスが可能か )• Malware 署名 (DLL の検知を行う !)

Air-Gap なネットワーク

のブリッジ方法

温系チャンネ

ル

無線系チャンネル

音響系チャンネ

ル

光学系チャンネル

無線系チャンネル

AirHopper の紹介• 多くの仕事場は BYOD ポリシーを持つ• スマートフォンを使っての無線信号の受信が

可能• 通常の PC に無線信号の発信を可能にすれば

アウトバウンドなチャンネルの構築が可能

攻撃モデル

Air Gap

アウトバウンド

最大の課題

アンテナの原理とは ?• アンテナは端末からの電圧の発振よって電波を

発生する。• 電波は周波数（電気振動 Hz) と振幅（電圧レベ

ル値 dBm) で表される

電波の発生の仕方は…… ディスプレイからケーブルに対して特定の信号を発振させる

バイナリーデータのアナログFM への変調

実験結果

AirHopper - 対策• 厳密なゾーン規制 : ディスプレイがある Air-gap なコン

ピュータの近く２０メートル以内でのスマートフォンの禁止

• 絶縁 : ディスプレイのケーブルをよりよく遮蔽する .• ジャミング : 87.5-108 MHz バンドでの電波ノイズを派

生する。• 署名 : 関連するグラフィック改変のスキャンを行う

GSMem - 紹介• フィーチャーフォン (wifi,bluetooth などの機能の無い

携帯… ) は規制されたエリアへの持ち込みが可能 .• フィーチャーフォンを使えば移動体通信系の電波

等の受信が可能 .• 通常のコンピュータの CPU メモリバスをエキス

プロイトすることで移動体通信系の信号の発振が可能

攻撃モデル

隔離されたネットワーク

アウトバウンド

GSMem の挙動発信器 受信機

信号の発信• 観察　 1: CPU-RAM 間の大量な通

信によって発振する電圧が発生 . –キャッシュをバイパス

• 観察　 2: バスは FBS 速度で転送を行い 800MHz の周波数を発生させる

ビットを送る ( 変調 )ビットを送信するには B-ASK の変種を使う :

Send(“0”):T 秒間は何も行わない

Send(“1”):振幅を T 秒間上げる

すべてのビットをフレーム内に収納する

発信器の属性• たった４ KB のメモリー上のでの

負荷• root/admin が不要• API は使わない• Intel と AMD 環境が対象…• Windows/Linux で動く…

信号の受信素の信号（我々の変調）を読み取るためにはベースバンドチップのファームウェアの改修が必要。

しかし、モチベーションが高く才能のある脅威主体にはこのことは決して抑止力にはならない … 過去にも例が有るように .

我々のテストではオープンソースのベースバンドソフト (OsmocomBB) と互換性がある Motorola C123 GSM 携帯を使った。

高度な分析のためには Universal Software Radio Peripheral (USRP B210) を使用した。

ビットの受信など：とても簡単なアプローチ :1. ” 最良”の周波数で待つ2. プリアンブル‘ 1010’ の検索を行う ( 各ビットは T

秒間 )• 閾値に基づく ( ダイナミックに変わる )

3. プリアンブルが見つかれば１２ビットのペイロードを抽出

実験結果

• チャンネルの数だけ力が増える !

• 向きによって結果が変わる

GSMem - 対策• 干渉• 遮蔽• 厳密なゾーン規則• 署名

概要USB から発生す電磁波を使った秘

密裏な Air-gap チャンネル2014: Edward Snowden によって

NSA の COTTONMOUTH が漏えい

USBee: 追加ハードウェア不要の秘密裏な USB 通信

　攻撃モデル

Air Gap

アウトバウンド

USB デバイスに対して’ 0’ ビットのシーケンスを送ると 240MHz と 480MHz の間で検知可能

な信号が発振される。USBee は B-

FSK エンコーディングを使ってデータの変調

を行うバイナリーに関しては NRZI エンコーディングで USB デバイスに書き込まれる

Host 上のマルウェアは USB への特殊な権限を必要としない !

実験結果距離 : ケーブル有り – 9mケーブル無し – 4mデータレート : 毎秒 80 バイト

USBee - 対策• 電磁波遮断• 距離を置くポリシー• 妨害• マルウェア検知 : /

Air-Gap なネットワーク

のブリッジ方法

温系チャンネ

ル

無線系チャンネル

音響系チャンネ

ル

光学系チャンネル

このような”斬新”な攻撃に関して心配しなければいけない状況とは ?

“ 切羽が詰まった状況では思い切った手法が必要”

Air-gap ネットワークが…• APT の攻撃対象になりうる場合• 内部犯による活動• 規制対象エリアに訪問者が考えられう場合

もっとも現実性が高い攻撃

電磁波による情報搾取 : GSMem, AirHopper, USBee

検知が難しく、攻撃者に取っては容易に実装と実行が可能

結論要約 :• Air-gap をブリッジする４つのタイプのチャンネルの可

能性を指摘しました。• 注意点 : 前提条件として対象ネットワークは以前にすで

に侵害されている !要点 :• Air-gap されているからとしても必ずしも隔離されてい

るとは言えない。• すべての人が標的とは言えない !• ネットワークの機密性から標的になりうるとするならば、

用心すべき（ゾーニング等）

ご清聴ありがとうございました !

質問 ?