Kỹ thuật đánh cắp dữ liệu từ những máy tính nằm trong lồng Faraday
Những máy tính không nối mạng được cho là những thiết bị an toàn, khó xâm nhập nhất. Lồng Faraday là lớp vỏ bao kim loại có thể chặn mọi tín hiệu điện từ và được cho là cung cấp khả năng bảo mật cao hơn cho máy tính đặt trong đó.
Dù vậy, Trung tâm nghiên cứu An ninh mạng tại đại học Ben Gurion (Israel) do Mordechai Guri lãnh đạo đã phát triển hai kỹ thuật giúp đưa dữ liệu từ những chiếc máy tính nằm trong lồng Faraday ra ngoài.
Được đặt tên là MAGNETO và ODINI, hai kỹ thuật này sử dụng mã độc chứng minh khả năng (PoC) do họ phát triển, cài bên trong máy tính để điều khiển từ trường phát ra từ máy tính bằng cách thay đổi tải của các nhân CPU và dùng nó để truyền dữ liệu ra ngoài một cách bí mật.
Theo các nhà nghiên cứu, khi máy tính bị lây nhiễm mã độc, dù nó không nối mạng thông tin được đặt trong lồng Faraday, thì tin tặc vẫn có thể lấy dữ liệu đánh cắp ra ngoài. Sau khi mã độc được cài đặt vào máy tính bị cô lập, mã độc có thể thu thập những thông tin nhỏ nhưng quan trọng như khoá mã hoá, thông tin đăng nhập để truyền ra ngoài.
Mã độc PoC sinh từ trường biến đổi bằng cách tăng tải của CPU với những tính toán phức tạp, làm tăng mức độ sử dụng điện của CPU và tạo ra từ trường mạnh hơn. Nhưng tín hiệu điện từ (âm thanh, hình ảnh và nhiệt) phát ra từ máy tính bị lây nhiễm đủ mạnh để mang lượng dữ liệu nhỏ tới một thiết bị ở gần đó. Quá trình truyền tin chuyển dữ liệu nhị phân thành các tín hiệu Mooc-xơ.
Chương trình truyền tin chỉ chiếm dung lượng rất nhỏ trong bộ nhớ, nên dễ ẩn mình trước các ứng dụng diệt virus. Với hệ điều hành, chương trình truyền tin không đòi hỏi quyền đặc biệt nào (ví dụ như root hay admin) và do đó có thể được khởi tạo từ một tiến trình của người dùng thông thường.
Mã của đoạn truyền tín hiệu chỉ bao gồm các tác vụ CPU thông thường như vòng lặp bận nên không để lộ các hành vi lạ, khiến nó dễ dàng tránh khỏi tầm mắt của các công cụ phân tích tự động.
Dù cả hai kiểu tấn công đều được thiết kế để truyền dữ liệu ra khỏi chiếc máy tính được bảo vệ bằng tín hiệu điện từ, nhưng chúng có điểm khác biệt quan trọng: MAGNETO là kiểu tấn công tầm gần, trong đó ứng dụng Android cài đặt trong điện thoại thông minh có thể nhận dữ liệu đánh cắp nhờ cảm ứng từ của điện thoại, ngay cả khi nó được đặt trong lồng Faraday hay được đặt ở chế độ máy bay; trong khi đó, ODINI cho phép thu nhận tín hiệu điện từ ở khoảng cách xa hơn nhờ một cảm ứng từ chuyên dụng.
Với MAGNETO, nhóm nghiên cứu có thể truyền dữ liệu với tốc độ 5 bit/giây ở khoảng cách tối đa 12,5 cm (5 inch) với ODINI, tốc độ truyền tối đa là 40 bit/giây ở khoảng cách từ 100 tới 150 cm (3-5 feet).
Nguyễn Anh Tuấn
Theo The Hacker News