Bugün araştırmacılar, bir SATA kablosunu bir radyo vericisine dönüştürebilen ve böylece bir bilgisayar korsanının bir ağa bağlı olmayan bir sistemden veri sızdırmasına ve 1 metre uzaktaki bir alıcıya iletmesine olanak tanıyan yeni bir ‘SATan’ saldırısını ortaya çıkardı. SATA kablosunu veya donanımını değiştirme. Yazılım tabanlı teknik, kullanıcı alanından veya bir sanal makine (VM) aracılığıyla çalışabilir ve aşağıdaki gömülü videoda kısa bir demo görebilirsiniz.
Her yerde bulunan SATA bağlantısı, sabit diskleri ve SSD’leri bir PC’ye bağlamak için dünya çapında milyarlarca cihazda kullanılıyor ve bu da onu geniş bir ayak izine sahip sofistike bir saldırı arayan bilgisayar korsanları için mükemmel bir hedef haline getiriyor.
Gezegendeki en hassas verilerin bazıları hava boşluklu sistemlerde depolanır. Bu sistemler, ağ veya internet gibi dış dünyayla herhangi bir bağlantıdan tamamen yalıtılmıştır ve ayrıca kablosuz Bluetooth veya Wi-Fi donanımı gibi kablosuz iletişim kurabilen herhangi bir donanıma sahip değildir. Bu nedenle, onlardan veri çalmak için ultra gelişmiş teknikler gerektirir. İsrail, Negev Üniversitesi’nden araştırmacı Mordechai Guri, başarıyı başardı standart bir SATA kablosunu bir radyo vericisine dönüştürerek, ancak donanımda herhangi bir fiziksel değişiklik yapmadan.
Tüm bilgisayar arayüzlerinde olduğu gibi, SATA veri yolu normal çalışma sırasında elektromanyetik parazit oluşturur ve doğru kullanılırsa bu parazit manipüle edilebilir ve ardından veri iletmek için kullanılabilir. Bu durumda araştırmacı, SATA kablosunu 6 GHz frekans bandında çalışan kablosuz bir anten olarak kullandı ve böylece yakındaki dizüstü bilgisayara kısa bir mesaj iletti. Bu saldırı, şifreleri veya diğer hassas verileri çalmak için keylogger’larla birlikte kullanılabilir. Benzer şekilde, saldırganlar dosyalar ve resimler gibi önemli verileri çalmak için başka mekanizmalar kullanabilir.
Doğal olarak, saldırganın önce hedeflenen makineye kötü amaçlı yazılım yüklemesi gerekir, ancak Stuxnet ve diğer saldırılarda gördüğümüz gibi, kötü amaçlı kod içeren USB aygıtları, korumalı sistemlere kötü amaçlı yazılım yayabilir. Aksi takdirde, saldırganın saldırı yükünü yüklemek için fiziksel erişime ihtiyacı olacaktır.
Yüklendikten sonra, kötü amaçlı yazılım önce çalınacak verileri kodlar. Ardından, kablo üzerinde bir sinyal oluşturmak için okuma ve yazma gibi belirli dosya sistemi erişim türlerini kontrollü bir şekilde gerçekleştirir. Okuma veya yazma işlemleri etkin bir şekilde doğru sinyalleri oluşturabilse de, araştırmacı, okuma işlemlerinin genellikle sistem düzeyinde daha yüksek izinler gerektirmediğini ve yazma işlemlerinden daha güçlü sinyaller (3 dB’ye kadar) ürettiğini belirtiyor. Araştırmacılar ayrıca, depolama cihazına başka trafik getiren arka plan işlemlerinin genellikle iyi olduğunu belirtti. Yine de yoğun sürüş etkinliği şanzımanları bulandırabilir, bu nedenle yoğun arka plan faaliyetleri meydana geldiğinde şanzımanı duraklatmak veya durdurmak en iyisidir.
Saldırgan daha sonra yakındaki bir cihazdan sinyali alabilir, ancak erişim sınırlıdır. Bu durumda, daha uzun mesafelerle bağlantılı olarak artan bit hata oranları nedeniyle alıcının vericinin 1m yakınında olması gerekir. Alıcı cihaz, bu durumda bir dizüstü bilgisayar, sinyali almak için bir Yazılım Tanımlı Radyo (SDR) alıcısı kullanır.
Bu tür saldırılar yeni değil – araştırmacılar daha önce bir saldırganın 50 fit uzaktaki bir duvardan alabileceği bir radyo vericisi oluşturmak için bir AMD Radeon grafik kartının saat hızlarını değiştirdiğini göstermişti – ancak araştırmacılar yeni buldukça giderek daha karmaşık hale geliyorlar. yararlanabileceğiniz arayüzler.
Bu tür saldırıları azaltmanın birkaç yolu vardır, ancak bunlar kusursuz değildir. Makale, ilk savunma hattının, güvenli tesiste radyo alıcılarını yasaklamak gibi diğer taktiklerle birlikte, ilk sızmayı önleyen politikalar uygulamak olduğunu öne sürüyor. Doğal olarak, casuslar herhangi bir kötü niyetli iletimin devam edip etmediğini tespit etmek için kendi izleme donanımlarını da kullanabilir veya geçici dosyalara tek okuma ve yazma etkinliği gibi anormal dosya kullanımını izleyen güvenli makinelere yazılım yükleyebilir. Bunlar, düşük verimli algılama yöntemleri olma eğilimindedir, çünkü şanzımanlar ve tahrik etkinliğinin gizlenmesi kolaydır.
Doğal olarak, en doğrudan koruma yöntemi, SATA kablosuna veya bilgisayarın kasasına ekstra elektromanyetik koruma eklemek olacaktır. Ama yine de, belki de saldırının karmaşıklığı, biz normal insanlar için en iyi korumadır. Alıcıyı oluşturmak şaşırtıcı derecede basittir, ancak gerekli yazılımı ve kodlama tekniklerini geliştirmek, yüksek düzeyde karmaşıklık gerektirir; bu, bu tür saldırıların büyük olasılıkla casusluk yapan ulus devletlere havale edildiği anlamına gelir. Bu, ortalama bir kullanıcının, sistemlerinde depolanmış nükleer fırlatma kodları olmadığı sürece endişelenecek bir şeyi olmadığı anlamına gelir.