Очень часто научные работы, посвященные аппаратным уязвимостям, описывают увлекательные шпионские сценарии. Именно к таким случаям относится свежая научная работа исследователей из университетов США и Китая. Они нашли способ кражи данных из камер видеонаблюдения путем анализа паразитного электромагнитного излучения и назвали эту атаку EM Eye.
Реконструкция информации по паразитному излучению
Представим себе такой сценарий. Есть секретное помещение, доступ в которое строго ограничен. Внутри, допустим, проходят важные переговоры, так что сам факт присутствия каких-то людей в этой комнате — важная информация. Там же установлена камера видеонаблюдения, запись ведется круглосуточно, но взломать компьютер, осуществляющий запись, невозможно. Впрочем, буквально в паре метров есть помещение, куда допускают гостей. Шпион проносит в это соседнее помещение устройство, которое для простоты будем считать слегка модифицированным радиоприемником. Этот «приемник» собирает данные, последующая обработка которых позволяет реконструировать картинку с камеры наблюдения в соседней секретной комнате. Реконструированное видео выглядит примерно так:
Как такое вообще возможно? Чтобы разобраться, давайте поговорим об атаках TEMPEST. Это кодовое название, придуманное американским Агентством по национальной безопасности для обозначения методов слежки с использованием каких-либо паразитных излучений. Равно как и средств защиты от такой слежки.
Впервые такая аппаратная уязвимость изучалась еще во времена Второй мировой войны. Тогда в армии США использовалось автоматическое шифровальное устройство компании Bell Telephone: открытый текст на входе смешивался с заранее подготовленной случайной последовательностью символов. На выходе получалось зашифрованное сообщение. Устройство использовало электромагнитные реле, по сути большие переключатели.
Представьте механический выключатель света: при каждом использовании между его контактами пробегает искра. Этот разряд электричества генерирует радиоволны: при желании кто-то на достаточно большом расстоянии может настроить свой радиоприемник на определенную частоту и будет знать, когда вы включаете или выключаете свет в комнате. Это называется паразитное электромагнитное излучение, и оно является неизбежным продуктом работы электрических устройств.
В случае с шифровальным устройством Bell включение и выключение электромагнитных реле генерировало такие помехи, что его работу можно было фиксировать на большом расстоянии. А из характера помех восстанавливать шифруемый текст. Современные компьютеры не оснащены огромными электромеханическими переключателями, но паразитное излучение они все же генерируют. Каждый бит передаваемых данных соответствует определенному напряжению, подаваемому на электрическую схему, или же его отсутствию. Изменение уровня напряжения генерирует помехи, которые можно анализировать.
Исследования по теме TEMPEST долгое время были засекречены. Первая открытая работа была опубликована в 1985 году. Голландский исследователь Вим ван Эйк показал, что паразитное излучение компьютерного монитора позволяет на расстоянии реконструировать передаваемое на него изображение.
Изображение из радиошума
Авторы свежего исследования, впрочем, работают с гораздо более сложными и слабыми электромагнитными помехами. По сравнению с шифровальными аппаратами 40-х годов прошлого века и компьютерными мониторами 80-х скорость передачи данных серьезно выросла — паразитного излучения стало больше, а само оно, благодаря миниатюризации компонентов, стало слабее. Но в пользу исследователей играет тот факт, что видеокамеры стали крайне распространены и их конструкция более-менее стандартизирована. В такой камере есть светочувствительный сенсор, сырые данные с которого, как правило, передаются в графическую подсистему для последующей обработки. Именно вот этот процесс передачи необработанной информации и атакуют авторы работы.
Совсем недавно, в предыдущих экспериментах, исследователи продемонстрировали, что электромагнитное излучение, возникающее при передаче данных от сенсора видеокамеры, позволяет определить сам факт присутствия камеры поблизости — а это полезная информация для защиты от несанкционированной слежки. Но, как оказалось, из помех можно извлечь куда больше информации.
Исследователям пришлось досконально изучить методы передачи данных между сенсором видеокамеры и блоком обработки данных. Производители используют для этого разные протоколы передачи. Часто применяемый интерфейс MIPI CSI-2 передает данные построчно, слева направо, практически так же, как данные передаются от компьютера на монитор (перехват которых осуществил тот самый Вим ван Эйк почти 40 лет назад). На иллюстрации выше показаны эксперименты авторов работы. Перед камерой ставится контрастная мишень с темными и светлыми полосами по горизонтали или вертикали. Дальше анализируется паразитное излучение в определенном диапазоне частот (например, 204 или 255 мегагерц). Становится заметно, что интенсивность радиоизлучения коррелирует с темными и светлыми участками мишени.
Вот, собственно, и вся атака: нужно принять паразитное радиоизлучение от видеокамеры, проанализировать его и восстановить ничем не защищенное изображение. Конечно, на практике не все так просто. Исследователи имели дело с очень слабым и зашумленным радиосигналом. Для улучшения картинки применили нейросеть: анализируя последовательность украденных кадров, она позволяет значительно улучшить качество видеоперехвата. В результате из состояния «почти ничего не видно» получается прекрасное изображение, не хуже, чем в оригинале, разве что с традиционными для нейросетей артефактами. Ну и информация о цвете предметов в любом случае теряется.
EM Eye на практике
Во множестве экспериментов с различными видеокамерами исследователи смогли перехватить видеосигнал на расстоянии до пяти метров. В реальных условиях такой перехват будет усложнен большим уровнем шума от соседних устройств. Больше всего сигнал от видеокамеры «портят» компьютерные мониторы, работающие по похожему принципу. В качестве рекомендации производителям видеокамер авторы работы предлагают улучшить экранирование устройств и даже приводят результат эксперимента, в котором защита уязвимого модуля фольгой серьезно ухудшила качество перехватываемого изображения.
Конечно, более эффективным будет другое решение: шифрование данных, передаваемых от сенсора видеокамеры для дальнейшей обработки.
Карманный шпион
Но некоторые выводы исследователей кажутся еще более неприятными. Дело в том, что точно такие же помехи происходят при работе камеры в смартфоне. Да, ходить за пользователем с антенной и радиоприемником, не привлекая к себе внимание, трудно. Но что, если подарить потенциальной жертве, ну, например, слегка модифицированный переносной аккумулятор? По определению такое устройство будет находиться рядом со смартфоном. И когда жертва решит снять видео или даже фотографию, продвинутый «жучок» сможет уверенно перехватить получившееся изображение. На иллюстрации ниже показано, что ущерб от такого перехвата может быть максимальным, если с помощью смартфона, например, фотографируются документы. А качество будет достаточное, чтобы распознать текст.
Впрочем, мы не хотим преувеличивать опасность подобных атак. Они разрабатываются не для того, чтобы подсматривать за кем-то уже завтра. Но такие исследования важны: в идеальной ситуации мы должны применять к аппаратным уязвимостям такие же меры защиты, как и к программным. Иначе может сложиться ситуация, когда все меры по защите тех же видеокамер смартфонов в софте окажутся бесполезными против «жучка», пусть и сложного, но вполне собираемого из компонентов, доступных в ближайшем магазине электроники.
Бизнес — Блог Касперского