DiskFiltration : écouter le disque dur pour exfiltrer des données sensibles

DiskFiltration : écouter le disque dur pour exfiltrer des données sensibles

À qui est ce téléphone sur le bureau ?

Avatar de l'auteur
Vincent Hermann

Publié dans

Logiciel

12/08/2016 5 minutes
55

DiskFiltration : écouter le disque dur pour exfiltrer des données sensibles

L’air gap, qui consiste à isoler des machines sensibles en les coupant de toute connexion réseau ou Internet, peut être franchi par différentes techniques. Des chercheurs ont fait un pas supplémentaire dans cette voie en proposant un outil capable d’écouter les sons émis par le disque dur, avec récupération d’informations sensibles à la clé.

Si une machine comporte des données si sensibles qu’il ne faut même plus prendre le risque de la relier au réseau local d’une structure (sans parler d’Internet), elle peut être placée derrière un air gap. Signifiant littéralement « trou d’air », la technique est simple : la machine est seule, dans un coin ou une salle qui lui est réservée, sans autre accès possible que physique.

Bien qu’il s’agisse d’une technique efficace, elle n’est pas infaillible. On a pu voir hier notamment comment le malware ProjectSauron, également appelé Remsec, s’occupait de ce genre de cas. Tablant sur le fait qu’une machine derrière un air gap permet toujours un accès physique, il met ainsi de côté les données glanées dans une zone cachée du stockage. Quand une clé USB spécialement conçue est branchée, les informations y sont déplacées.

DiskFiltration : la signature sonore trahit certaines actions

Des chercheurs de l’université israélienne de Ben-Gurion ont de leur côté travaillé sur un autre mécanisme : celui des bruits émis par le disque dur quand il travaille. Le signal acoustique change en fonction des actions menées par le disque, tout simplement parce que l’actionneur – le bras mécanique portant la tête de lecture/écriture – se déplace très rapidement sur les plateaux pour accéder aux données.

L’idée en elle-même n’est pas nouvelle, mais le disque dur émet de nombreux bruits. Dès lors, comment reconnaître quand ils correspondent à des opérations intéressantes pour l’éventuel pirate ? Il faut disposer d’un accès physique à la machine pour déclencher des opérations qui vont faire bouger l’actionneur de manière spécifique. À partir de là, on peut l’amener à accéder aux données visées, et si elles ne s’affichent pas à l’écran, le disque dur va les traiter et émettre une signature sonore.

Du côté des récepteurs, un simple smartphone peut suffire. Comme indiqué dans les résultats de ces travaux, la transmission du signal équivaut à 180 bits par minute. Ce qui n’a évidemment rien de rapide, mais permet de transmettre une clé de 4 096 bits en approximativement 25 minutes. Il faut être relativement près de la machine, la portée maximale étant de 6 pieds, soit environ 1,83 mètre. L’ensemble de la technique a été nommé DiskFiltration.

Réduire les bruits ne sert à rien

La méthode n’est pas simple à mettre en place, mais elle prouve que l’exfiltration des données depuis une machine protégée par un air gap n’est pas impossible. Elle montre également que les méthodes utilisées peuvent être affinées pour être plus efficaces, comme ici avec la phase de calibrage qui renseigne le programme d’écoute sur le fonctionnement du disque. Même la présence d’un logiciel de réduction du bruit des disques durs, s’il est réglé sur ses paramètres par défaut, n’empêche pas la récupération des données.

Mordechai Guri, qui dirige l’équipe de chercheurs, a ainsi indiqué à Ars Technica : « Une isolation air gap est considérée comme une mesure de sécurité hermétique pouvant prévenir les fuites de données. Des données confidentielles, des informations personnelles, des rapports financiers et d’autres types de données sensibles sont stockées dans des réseaux isolés. Nous montrons qu’en dépit de ce degré d’isolation, les données peuvent être exfiltrées (par exemple vers un smartphone proche) ».

Aucune sécurité n'est parfaite

La méthode n’est évidemment pas parfaite, mais aucune ne l’est. Le processus d’écoute peut être gêné par certains types d’opération réalisées par le disque dur, ce que les chercheurs ne peuvent empêcher. Dans ce cas, la signature sonore s’encombre d’artefacts qui rendent la récupération des données plus aléatoire. D’après les chercheurs, la méthode est cependant efficace dans la majorité des tests, prouvant sa dangerosité. Il s’agit d’ailleurs de la même équipe qui avait créé d’autres techniques, notamment AirHopper qui change une carte vidéo en émetteur FM.

Les travaux de l’université pourraient bien sûr être détournés et donner des idées à certains pirates. Cependant, les chercheurs veulent attirer l’attention sur les dangers de considérer une solution particulière comme la réponse unique à tous les soucis de sécurité. Aucune solution seule ne peut garantir une protection totale, c’est bien un ensemble de règles qui est à privilégier.

Une technique inefficace avec les SSD

Dans le cas d’une machine protégée par un air gap, le contrôle de l’accès à la machine est par exemple primordial. Si l’ordinateur contient des données à ce point sensible, tout le monde ne devrait pas y avoir accès. On peut également désactiver les ports USB pour éviter qu’une clé y soit branchée. Mais surtout, dans le cadre d’une attaque de type DiskFiltration, la parade est simple : remplacer le disque dur par un SSD, quand bien sûr la chose est faisable. Beaucoup de machines de ce type sont en effet très vieilles.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

DiskFiltration : la signature sonore trahit certaines actions

Réduire les bruits ne sert à rien

Aucune sécurité n'est parfaite

Une technique inefficace avec les SSD

Commentaires (55)


En même temps, c’est possible de remplacer un vieux DD par un SSD, ca existe toujours les adaptateurs IDE-SATA :)



En tous cas, articles interessant, qui fait le lien avec celui sur l’écoute des composants dans une machine.



Y’avait aussi eu un truc sur l’écoute des frappes sur les claviers aussi il me semble.








the_Grim_Reaper a écrit :



Y’avait aussi eu un truc sur l’écoute des frappes sur les claviers aussi il me semble.









Et aussi pour voir ce qu’affiche un écran cathodique (c’est un peu vieux mais c’est le meme genre d’idée)



pour info la publi d’origine :http://cryptome.org/emr.pdf



Un beau POC mais la portée est quand même assez spécifique, puis faut que le serveur en question n’a qu’un seul disque dur, pas de SSD, puis un accès physique à la machine.



Mais ça reste étonnant les nombreux moyens directs ou indirects de récupérer des données, je me souviens d’un film où un mec écoutait un réseau via un tor autour d’un câble réseau donc sans le couper, mais j’ai jamais su si c’était réellement de la SF ou si c’était faisable.


Le seul avantage c’est qu’il suffit d’un smartphone normal pour récupérer les données. Mais si on fait se genre d’attaque on doit pouvoir aussi se fournir en matériel de réception dédié.

 

Tant qu’a avoir pu installer un soft sur la machine cible + faire une phase de calibration on peut imaginer mieux que se servir du disque dur comme émetteur sonore.

Exemples :




  • transmettre via le réseau électrique en jouant sur la consommation de la machine

  • en utilisant tout le tas d’émissions électromagnétiques qu’un PC ne manque pas d’émettre suivant son utilisation

  • en attendant que comme la première fois on ait un accès physique à la machine…

     



    [edit] c’est mentionné dans la publi


Pour clarifier, le principe est d’utiliser le disque dur comme générateur de bruit pour extraire des données, un peu comme d’utiliser des lecteur de disquette pour faire de la musique mais en plus discret (https://www.youtube.com/watch?v=yHJOz_y9rZE ).


Les SSD chantent aussi.

 


sinon avec un fond sonore on peut aussi masquer le bruit


Y a tout de même beaucoup de “chercheurs en sécurité” qui veulent juste faire parler d’eux. <img data-src=" />





  1. Choisir un canal de communication (sonore, visuel, électrique, magnétique, …).

  2. Encoder des données du PC et émettre des signaux via ce canal.

  3. Recevoir les signaux sur un terminal et décoder les données.

  4. Publier un article et un PoC affirmant qu’il existe un moyen (improbable) de pirater des données sensibles.



    Y a pas longtemps, c’était un “pixel clignotant”. Je suppose que le prochain ce sera un “pulse électrique”…


Que l’on puisse déduire les mouvements du bras du disque en fonction du bruit émis (durée, intensité, etc), je veux bien, mais de là a en déduire les données lues, j’avoue qu’il me manque un ou deux wagons là … Oo








Juju251 a écrit :



Que l’on puisse déduire les mouvements du bras du disque en fonction du bruit émis (durée, intensité, etc), je veux bien, mais de là a en déduire les données lues, j’avoue qu’il me manque un ou deux wagons là … Oo





il faut avoir installé un malware sur la machine air-gappée. ce malware fait bouger la mécanique du HDD pour générer un flux accoustique qui sert à transmettre la donnée (lue autrement).



Dit autrement : tu “n’écoutes” pas les données du disque en temps réel, c’est un programme qui converti les données que tu veux exfiltrer sous forme d’un “son” que tu peux capter avec un simple smartphone et décoder à tête reposée par la suite. (comme le fait ton pilote Bluetooth en ondes radio ou le contrôleur d’infrarouges par exemple)

Après, chaque (gamme de) disque ayant des propriété acoustiques différente, il faut calibrer avant pour que le flux de son envoyé soit décodable









Juju251 a écrit :



Que l’on puisse déduire les mouvements du bras du disque en fonction du bruit émis (durée, intensité, etc), je veux bien, mais de là a en déduire les données lues, j’avoue qu’il me manque un ou deux wagons là … Oo







Bah, le disque ne fait que gérer des 0 et des 1. Je suppose donc qu’il est “facile” de savoir ce que le disque écrit.



ça montre surtout que la notion de sécurité en informatique se mesurera encore et toujours face à la volonté adverse de la contourner. Il n’y a pas de fin à ce jeu là.&nbsp;


non c’est pas ça. Relire le post #5



en fait les données sont ciblées et le disque emet un bruit pour retranscrire ces données (sous la forme d’un message codé en qque sorte).

Il ne s’agit pas d’écouter le disque et d’en déduire toutes les données qui sont lues



edit: grilled








Malkomitch a écrit :



ça montre surtout que la notion de sécurité en informatique se mesurera encore et toujours face à la volonté adverse de la contourner. Il n’y a pas de fin à ce jeu là.





mouais enfin comme l’indique 127.0.0.1 (et dit autrement), ils auraient aussi bien pu sortir un papier disant “on a réussi à sortir des info d’une machine protégée par Air Gap en recopiant les données sur une feuille de papier et en les réécrivant dans une autre machine”…



Du coup, oui, ça rappelle qu’aucune protection n’est absolue mais non, y a pas de quoi en faire un flan paranoïaque.



Ce n’est pas monsieur Ripley qui identifie cette méthode d’usage du marteau dans une de ses aventures ?


on pourrait imaginer une parade assez simple avec un générateur de bruit aléatoire autour du disque suffisamment propre du bruit du disque pour rendre le filtrage entre les 2 signaux très difficile.

Mais bon, &nbsp;avec les SSD qui deviennent de + en + courant, c est vraiment une attaque de niche…


Si on a accès physique à la machine, on peut simplement PRENDRE le disque dur, c’est plus fiable/rapide <img data-src=" />








EricB a écrit :



on pourrait imaginer une parade assez simple avec un générateur de bruit aléatoire autour du disque suffisamment propre du bruit du disque pour rendre le filtrage entre les 2 signaux très difficile.

Mais bon,  avec les SSD qui deviennent de + en + courant, c est vraiment une attaque de niche…





AMHA, beaucoup trop cher (en temps et ressources) par rapport au risque encouru.



(encore une fois : À partir du moment où un tiers à un accès physique à la machine, l’air gap saute (de même à priori que toute notion de sécurité), de mon point de vue).







Cartmaninpact a écrit :



Si on a accès physique à la machine, on peut simplement PRENDRE le disque dur, c’est plus fiable/rapide <img data-src=" />





voilà !



disque cryptés, tout ca.

C est parfois mieux de mettre un mouchard pres d une machine en route/ prod que de recuperer le matos illisible.

Mais bon, on est bien d accord,&nbsp;tout est une gestion des risques. &nbsp;Celui ci semble bien minime qd les acces rà la salle des machines sont resrtreints et controlés&nbsp;.








Cartmaninpact a écrit :



Si on a accès physique à la machine, on peut simplement PRENDRE le disque dur, c’est plus fiable/rapide <img data-src=" />





Ça risque de se voir assez rapidement, par contre …



Typo ;-) :




  • intro : des cherhes -&gt; des chercheurs ;

  • fin 3e parag : se déplacer -&gt; se déplace.


Sinon pour les disque IDE, on peut aussi mettre de la Compact Flash via un adaptateur.


Ou alors mettre la pièce dans une cage de faraday et autoriser&nbsp;uniquement&nbsp;les accès au personnel habilité…



<img data-src=" />


en LPT1








matroska a écrit :



Ou alors mettre la pièce dans une cage de faraday et autoriser uniquement les accès au personnel habilité…



<img data-src=" />







Que la personne rentre uniquement à poil dans la pièce pour consulter les données, sans rien avec elle (à part le mdp de session à la limite) <img data-src=" />









matroska a écrit :



Ou alors mettre la pièce dans une cage de faraday et autoriser&nbsp;uniquement&nbsp;les accès au personnel habilité…



<img data-src=" />





Il faut augmenter les chants magnétiques <img data-src=" />









jb18v a écrit :



Que la personne rentre uniquement à poil dans la pièce pour consulter les données, sans rien avec elle (à part le mdp de session à la limite) <img data-src=" />





y’aura toujours le risque que la personne “introduise” une clé USB dans la pièce&nbsp;<img data-src=" />



Voilà, et encore la personne pourrait avaler ou se glisser la clé USB ou périphérique de stockage quelque part…



<img data-src=" />


Bouton signaler <img data-src=" />


<img data-src=" />






“DiskFiltration : la signature sonore trahit certaines actions”



Cette phrase est vraiment trompeuse.



Il faut prendre contrôle du disque dur pour lui faire faire des sons particuliers. Ce n'est pas le son qui trahit le disque dur.      

Ça fait un moment qu'on sait faire plus que ça : jouer des mélodies par exemple.

Et puis autant afficher les données sur l'écran et le prendre en photo, c'est plus simple et le débit est meilleur.

&nbsp;

Quand je lis : "Il faut disposer d’un accès physique à la machine "&nbsp;j'ai envie de rigoler.

La sécurité physique est le niveau 0.






Article à sensations&nbsp;<img data-src=">  

&nbsp;






&nbsp;

en l’occurrence, l’action trahie est une transmission de données <img data-src=" />

(après oui, ça aurait mérité d’être clarifié)








2show7 a écrit :



Il faut augmenter les chants magnétiques <img data-src=" />





Joli ! Un bon Daft Punk jouait par le lecteur de disquette en parallèle et on a une parade infaillible.









thomgamer a écrit :



Joli ! Un bon Daft Punk jouait par le lecteur de disquette en parallèle et on a une parade infaillible.





Je pensais à JMJ&nbsp;<img data-src=" />



En fait, c’est justement parce que la machine n’est littéralement pas “air gap” que la méthode fonctionne <img data-src=" />








eliumnick a écrit :



Bah, le disque ne fait que gérer des 0 et des 1. Je suppose donc qu’il est “facile” de savoir ce que le disque écrit.





Mouais mais t’écris pas seulement un bloc à la fois. Par exemple si tu copie un fichier, tu le lis et l’écrit en même temps. Sans parler du /temp et autres IO liés au système.

Mais bon, quand tu as accès au DD, il y a plus simple quand même. D’ailleurs, j’imagine que dans ces cas là, les gens ayant accès à un air-gap, doivent se compter sur les doigts de la main de Django Reinhardt, que logiquement ils doivent laisser portables et autres appareils à l’extérieur etc…, que la machine est surveillée H24 par caméra etc.

&nbsp;









WereWindle a écrit :



mouais enfin comme l’indique 127.0.0.1 (et dit autrement), ils auraient aussi bien pu sortir un papier disant “on a réussi à sortir des info d’une machine protégée par Air Gap en recopiant les données sur une feuille de papier et en les réécrivant dans une autre machine”…



Du coup, oui, ça rappelle qu’aucune protection n’est absolue mais non, y a pas de quoi en faire un flan paranoïaque.





+1000. POC .



Sinon, on met le serveur sous vide d’air, et adieu les bruits !


Nexinpact fait dans l’article putaclic maintenant ?


Ce qu’on fait depuis des décennies d’ailleurs. Salle machine blindée, faradisée, contrôle d’accès, pas de possibilité de brancher de périphérique… Ça ne réduit pas le risque à zéro, mais ça limite les attaques farfelues.








odoc a écrit :



Et aussi pour voir ce qu’affiche un écran cathodique (c’est un peu vieux mais c’est le meme genre d’idée)



pour info la publi d’origine :http://cryptome.org/emr.pdf





always upvote cryptome.org



The first one…



Absolument, le mieux restant d’éliminer le problème principal… L’être humain…



<img data-src=" />








127.0.0.1 a écrit :



Y a tout de même beaucoup de “chercheurs en sécurité” qui veulent juste faire parler d’eux. <img data-src=" />





  1. Choisir un canal de communication (sonore, visuel, électrique, magnétique, …).

  2. Encoder des données du PC et émettre des signaux via ce canal.

  3. Recevoir les signaux sur un terminal et décoder les données.

  4. Publier un article et un PoC affirmant qu’il existe un moyen (improbable) de pirater des données sensibles.



    Y a pas longtemps, c’était un “pixel clignotant”. Je suppose que le prochain ce sera un “pulse électrique”…





    Il y a eu BadBIOS, qui communiquait par les hauts-parleurs des cartes sons.



Ils ont fait la même chose pour pirater le chiffrement rsa en écoutant le processeur. Comme quoi aucun cryptage n’est infaillible.


gloupousti ! &nbsp;ce sont des gloupousti !&nbsp;

Il y croit vraiment l’auteur de l’article ou il le poste pour se moquer de nous ?


L imagination de certaines personnes et sans limites, et tant mieux (^_^).

A quand des implants cappilaires en nanotubes pour stockes de l informations, lu directement de nos ondes cerebrales (^o^).








SirRichter57 a écrit :



L imagination de certaines personnes et sans limites, et tant mieux (^_^).

A quand des implants cappilaires en nanotubes pour stockes de l informations, lu directement de nos ondes cerebrales (^o^).







c’est déjà d’actualité…



Article:

How Hackers Could Get Inside Your Head With Brain Malware



Papiers de recherche:

On the feasibility of side-channel attacks with brain-computer interfaces

App stores for the brain: Privacy & security in Brain-Computer Interfaces



Lus par ces memes implants cappilaires, qu ils soient eux memes l interface et non une sorte de casque.



Merci pour le lien a prioris c est non unilateral si j ai bien suivi, hallucinant.


Ca ne m ettonerait qu a quelques %, que ce soit deja fonctionnel, ou tres proche de l etre en effet (^.-)


Question bête&nbsp; : au bureau, j’ai remarqué que mon écran professionnel émettait un bruit certes trop peu audible pour qu’il soit gênant, mais néanmoins perceptible, selon le type d’écran qui était affiché. (Un cadrillage à la Excel provocant un petit crissement si on avait l’oreil proche de l’écran).



Y’aurait il une faille à exploiter permettant de voir un écran grâce à son bruit ?








thomgamer a écrit :



Mais ça reste étonnant les nombreux moyens directs ou indirects de récupérer des données, je me souviens d’un film où un mec écoutait un réseau via un tor autour d’un câble réseau donc sans le couper, mais j’ai jamais su si c’était réellement de la SF ou si c’était faisable.&nbsp;





&nbsphttps://nsarchive.wordpress.com/2013/07/12/not-quite-another-year-of-the-spy/



J’ai cru à une nouvelle faille Synology :)


c’était en partie pour le lol, en souvenir de mes lecteurs CF externes. Si les vieux OS et vieux PC acceptent ces cartes avec ta méthode, c’est sur que c’est mieux.


C’est vu comme un périphérique IDE.