我的電腦不聯網，很安全，駭客：你還有風扇呢

現有各種類型的攻擊未聯網計算機的方法。

在這篇最新發表的研究中，Guri 拓展了數據泄漏的全新序言——「振動」。

具體來講，Guri 觀察到，CPU 風扇、GPU 風扇、電源風扇或者任何其他安裝在電腦機箱上的風扇都可以產生振動。對於沒有連接互聯網的電腦，植入在系統中的惡意代碼可以控制風扇轉動的速度。所以，通過加快或減緩風扇的轉動速度，攻擊者可以控制風扇振動的頻率。這種頻率可以被編碼，然後通過電腦桌等傳播出去。

一個典型工作站中的 CPU 風扇（A）和機箱風扇（B）。其中，機箱風扇是本文研究者重點關註的對象。

接下來，附近的攻擊者可以使用智能手機中的加速度傳感器記錄下這些振動，然後解碼隱含在振動模式中的資訊，進而對竊取自未聯網電腦系統中的資訊進行重建。

收集振動則可以通過以下兩種方式完成：

• 如果攻擊者可以物理拜訪未連接互聯網的電腦或內網，他們只需要將自己的智能手機放在電腦桌上，無需接觸被攻擊的電腦就能收集到所需的震動；

• 如果攻擊者無法拜訪未聯網的電腦或內網，則可以利用目標公司的員工，令他們的智能手機感染上病毒。這樣一來，這些員工手機上的惡意軟體就可以替攻擊者來收集振動了。Guri 認為這是有可能實現的，因為現代智能手機上的加速度傳感器可以通過任何 App 來實現拜訪，並且不需要用戶許可。這也使得這項技術能夠很好地規避風險。

盡管 AiR-ViBeR 是一項非常新穎的工作，但通過振動傳輸數據的速度卻非常慢，每秒僅有半個比特，是 Guri 和他的團隊近年來提出的最慢的數據竊取方法之一。

即便理論上 AiR-ViBeR 是可行的，那些攻擊者們也不會真的使用它，他們更可能選擇其他速度更快的技術。

AiR-ViBeR app 接收到了利用風扇振動竊取自未聯網電腦中的「秘密」資訊（42 比特）。

如何防止 AiR-ViBeR 的攻擊？

從振動檢測層面來說，一種解決方案是，在包含敏感資訊的計算機上放置加速度傳感器，用以檢測異常振動。

還有一種方案是「風扇拜訪監視器」，這是軟體層面的對策。一般在系統中，任何程序都不應該拜訪風扇控制，所以可使用端點保護來檢測干擾風扇控制 API 或拜訪風扇控制總線的代碼（比如 ACPI 和 SMBus）。但這種方法的缺陷在於，攻擊者可以使用 rootkit 或其他規避技術，繞過監視器並拜訪風扇控制。

此外，也可通過切斷或屏蔽原始傳輸來堵塞通訊信道，這也是一種內部干擾方法，可以使用專門程序在隨機的時間和 RPM 上更改風扇速度，但同樣它也無法避免被內核 rootkit 禁用或規避。

目前，在安全性方面最受信任的外部干擾方法是將產生隨機振動的組件連接到計算機上，該方法有一項弱點就是需要維護，無法做到在每臺計算機長進行部署，但這種操作確實比較簡單易行。

當然，還可以讓計算機進行物理隔離，把它放進一種特殊的抗振機箱。或者用水冷系統代替原有的計算機風扇，只是這樣的方案並不能大規模推廣，並且很貴。

防禦、檢測、人為干擾三種類型的方法各有優缺點。

關於 AiR-ViBeR 的技術細節可以參考論文《AiR-ViBeR: Exfiltrating Data from Air-Gapped Computers via Covert Surface ViBrAtIoNs》

論文地址：https://arxiv.org/abs/2004.06195v1

參考鏈接：https://www.zdnet.com/article/academics-steal-data-from-air-gapped-systems-using-pc-fan-vibrations/