GSMem:通过GSM频率从被物理隔离的计算机上窃取数据

发表于:2016-10-28 10:30:04 来源:  安全客 阅读数(0人)

抽象概念


AG网络是指在物理上与公共互联网断开的网络。虽然近几年人们验证了入侵这类网络系统的可行性,但是从这种网络上获取数据仍然是一个有挑战的任务。在本文中,我们介绍GSMem,它是一个可以在蜂窝数据频率上窃取被隔离网络计算机数据的恶意软件。受感染计算机上的恶意程序调制信号,并通过调用使用内存的相关指令产生蜂窝移动数据无线电信号,并利用多通道内存架构放大传输的信号。此外,我们将介绍传输的信号可以由在被感染计算机附近的手机接收,利用手机的基带系统和基带固件接收并解调信号。我们会介绍信号的产生接收,数据的调制和传输的关键技术设计。我们将给出一个GSMem的原型实验系统来评价它的性能和局限性。按照我们目前的实验结果,使用移动电话接收,传输距离为1米到5.5米,当使用专用却并不太昂贵的接收工具,有效距离可达30米以上。


1.绪言


具有安全意识的单位采取各种措施防止敏感信息的泄露与被盗,负责处理敏感信息的计算机通常在无外界隔离的内部网络运行,他们在物理上与公共网络断开,随着防止内部人员恶意或者过失导致敏感信息泄露意识的增加,一些公司开始限制USB接口的使用以防止经由USB的恶意软件感染或者数据泄露。有一些公司认为智能手机的摄像头,蓝牙和WIFI是存在风险的,限制他们在特殊环境场所的使用。例如,英特尔公司最佳文档称:“目前,制造员工只可以携带并使用有最基本的手机功能如语音通话和短信息的手机,这些手机有没有摄像头,摄像或者WIFI。另一个例子,来访者在LockheedMartin访问时,要遵循如下的要求:“因为 ATL 是一个安全的设施,下列项目不允许在我们办公区使用: 照相机 (电影,视频,数字) 成像设备,录音机,听录音设备。使用手机是允许的,但不可以使用摄像机/录音功能。”许多有安全意识的组织采取了类似的做法。显然,这种做使有摄像头和WIFI的手机处于监控之下。然而,现代计算机属于电子设备,注定要发射一些不同强度和频率的无线电信号。此外,手机还有灵敏的无线电信号接收器。这两个因素结合起来,为隐蔽的攻击创造了可能。


在本文,我们提出的任何基本的桌面计算机都可以偷偷将数据传送到附近的移动手机敌的攻击模型。通过调用特定内存相关 CPU 指令产生可被接受的 GSM、 UMTS 和 LTE 的频率。通过使用多通道内存体系结构的功能,为信号的放大和传输增加功率。这些信号接收和解码由安装在标准的手机内核的程序完成。为了演示攻击模型的可行性,我们开发了 GSMem,这是一个由桌面计算机上运行程序以及在GSM手机上运行的程序共同组成的恶意程序。我们选取可靠的无线电调制方式和通讯频率,来提供通用的实验结论。我们将在稍后解释我们的方法是适用于 GSM、 UMTS 和 LTE 基带的,我们在这里用GSM手机作为接收器演示。


图 1 显示了典型的真实生活场景,在(1) 计算机上的流氓软件调制敏感信息并通过 GSM 蜂窝频率传输。传输行为发生在计算机正在工作,并不会影响用户体验的地方。手机中基带级 恶意程序接收信号和解调他们,将他们转换成有意义的信息。请注意,利用该模型的组件存在于几乎所有计算机和蜂窝设备,即使在许可进入特殊环境的低端蜂窝设备。


1.1基带领域的封闭的性质


基带芯片是管理设备底层无线电链接网络的部分,因此它是手机不可缺少的组成部分,基带处理器运行固件中的实时操作系统(RTOS),这些固件对公众是封闭的,只有设备制造商才能通过有限的接口访问基带芯片的功能。实时操作系统源代码,以及协议栈和其他的实现细节,是严格保密的商业机密。保密严格的基带芯片行业由很少的厂商控制着。缺乏文档和技术细节,使得独立软件供应商不能更好地开发新产品和基带芯片的接口技术。


我们可以认为当前对基带芯片内部工作原理和固件的保密是在通过保密来实现安全,然而,这种保护方法是有局限性的,优秀的黑客以坚持不懈的破解并设法利用基带系统为自己的追求,即使这是异常艰辛的。Weinmann [8] [9] [10] 对基带系统的获取和攻击都详尽的讨论。Welte 和 Markgraf [6] 也指出当前商业基带技术和实际应用中的几个安全问题。


1.2本文贡献


虽然电磁的泄露不是一个新的话题[11],但是以下的内容是本文最先提出的: (1) 使用多通道内存的指令从计算机发射出蜂窝频率信号和利用手机基带芯片固件的程序接收并调解信号,而无需其他特殊的硬件。(2) 还有一种的新方法可以把几乎任何手机变成有效的电磁波窃听装置无需使用专门的设备。安全专家应该意识到,我们相信我们提出的攻击模型构成了新的安全威胁。


虽然大部分的本文侧重于手机作为接收器,我们也会介绍发射机使用与内存相关的 CPU 指令发出电磁波。我们将使用并不昂贵的软件定义无线电设备(sdr)来接收,这也扩展了我们研究的范围,实践更加多样的数据传输方法。


本文的其余部分组织如下: 在第二小节,我们介绍我们的相关的作品,并简明回顾我们的创新。下一步,在第三节中,我们提出了攻击模型。第四节中,我们提出的必要的技术背景。第五节规定发射机,紧接着第六节描述接收器的详细的说明。第七节中,我们评估 GSMem 和目前的效果。接下来,第八节,我们讨论了可能的防御对策。我们在第九节做最后总结。


2.简述任务


使用泄漏或辐射出电磁信号来进行地址攻击的电磁泄露安全问题由Anderson首先发现[11]。,这个问题可以追溯到第一次世界大战时期,但是在之后的很长时间,他只被军事和政府部门所关注。然而在1985年,van Eck [13] 表明可以使用价格合适的设备去利用瞬变电磁脉冲辐射上的漏洞。他设法使用一个改良的电视机在可行的距离上去接收显卡辐射出来的电磁信号并尝试还原图像。2000 年前后,库恩和安德森发布与利用计算机瞬变电磁脉冲辐射上的漏洞的文章[14] [15],展示了可以通过适当的软件造成桌面计算机泄露出来无线电信号,这是一个新的信息安全研究方向。.一些网站和书籍提到了电磁脉冲辐射技术文档,有些甚至给出了DIY的教程[16],因此公众对EMSEC和电磁泄露安全问题更加感兴趣。Thiele [17] 是一个开源项目,被称为"电磁脉冲辐射的Eliza ",利用计算机 CRT 显示器来调制 AM 频率的无线电信号传送。请注意,无线电攻击有很多的用途而不仅仅是如本文所述的信息的泄露。他也可以用于窃听,攻击复杂的加密算法或是作为检查恶意进程的防御手段。此外,无线电攻击并不限于电磁辐射,克拉克,兰斯福德 et al [18] 使用功率消耗作为一个途径,可以发现计算机隐藏的信息或活动。他们的项目WattsUpDoc通过测量功耗来确定在医学的嵌入式设备上的系统是否存在恶意软件。Rührmair[19] 讨论使用功率和时间途径攻击物理 不可复制的数据。其他研究人员研究攻击的途径不再局限于无线电。Halevy 和塞纳[20],探讨声学窃听,研究重点在于敲击键盘声音产生的泄密。汉什帕赫和 Goetz [21]所提出的所谓"隐蔽声学网络"基于超声波波段,使用计算机的声音传递信息并用附近的一台计算机的麦克风接收。Callan et al [22]通提出一种基于指令级事件信道的通过无线检测任意一台电脑辐射掌握电脑使用情况的方法。他们的方法利用CPU和内存正常工作时产生的正常辐射。他们的局限性是需要昂贵的设备,使用距离也相当有限。古丽[23]提出AirHoppe,工作原理是植入恶意软件后的电脑利用VGA视频线产生无线电信号,使用有FM功能的手机接收。


2.1 有关入侵途径的比较


从被链接隔离处理的计算机上隐蔽的窃取数据涉及很多物理效应,如从显示器电缆线 [23],从扬声器 [21] [24],CPU运行的漏磁[22] 和热辐射[25] 。我们的方法,GSMem,使用多通道内存数据总线法神的电磁波。表 1 提供了 GSMem 和其他当前模型之间的简要比较。


可以看出,这五种方法都是利用计算机的基本硬件作为发射工具,然而,不一定每一台计算机都有视频线和扬声器但是对于GSMEN和SAVAT,CPU和内存总是存在的。对于接受端,手机麦克风有可能不能靠近计算机,尤其是保密区域。FM接收器也不是每一台手机都有,而基带芯片是手机不可缺少的组成成分。


在各种基带芯片中,专业芯可以取得100到1000bit/s的比特率。然而使用手机的基带芯片,要慢得多(2bit/s),这使得本设备适合演示少量数据的盗取。大家要注意到,由于手机基带芯片行业的保密性,我们的演示是在可获取基带固件的低级落后手机上进行的。在最新的基带芯片上论证可能会有更好的结果,这件事可以作为未来一个新的研究方向。


3.建立威胁攻击模型


我们把GSMem看作是一个新的泄密路径概念的实验。我们建立一个特定的攻击模型,他可能会利用这个途径产生信息的泄露。我们把攻击模型分成两部分,一部分是一个感染了恶意程序的计算机,它作为发射源;另一部分是一个感染了恶意程序的手机,作为接收器。感染一台被隔离的计算机可以用Stuxnet [27] [28]、 [2] Agent.Btz 和其他 [1] [29] [30] [31]的方法,感染手机可以用社会工程、 恶意程序、 USB 接口或物理访问等方法从 [32] [33] [34]。如果被感染的手机在被感染的计算机附近,它就可以检测、 接收和解码任何传输的信号并存储有关获得的信息。之后,手机可以把窃取到的数据通过移动数据,短信或wifi传输给攻击者。虽然这种攻击模式复杂,但是近些年,攻击者的手法愈加高明,越来越多的复杂的攻击模式也被证明可行[35] [36] [37] [38]。


4.技术背景


我们用在分配的指定频率发射的电磁信号作为窃密的途径,这些信号可以被位于受感染计算机附近的手机基带芯片中的恶意程序检波,在本节中我们将提供有关的通讯协议和通讯频段,以及手机基带芯片的一些有用的技术背景。


4.1蜂窝通讯协议


移动网络有2G,3G,4G三个“代“,每一代都有其自己的标准、 网络体系结构、 基础设施、 和协议集。2g、 3g 和 4g 网络通常被称为 GSM、 UMTS 和 LTE ,以此反应标准的使用方法。在本文中,我们使用 GSM、 UMTS 和 LTE 的用语来表示这三代通讯技术。


4.1.2绝对无线电频道编号


手机和基站之间的通信 (传输和接收) 发生在整个频带内的频率的一个部分中。通讯标准的上行和下行频段被细划分成特定带宽的频段,每个频段是一个绝对射频信道。对这些绝对射频信道进行编号,而编号就用绝对射频信道号表示。常称绝对射频信道号为一个载波或一个频点。例如GSM850频带由123个绝对射频信道组成(128到251)。例如其中第128号编号表示上行频率824.2 MHz,下行频率869.2 MHz。在 UMTS 和 LTE中,绝对无线电频道编号各自被UARFCN 和 EARFCN取代。每一个绝对无线电频道编号的对应关系详见[40]。


4.2蜂窝网络波段


移动电话与蜂窝网络之间的无线通讯是通过负责处理手机无线电链路协议的基站链接的。基站与蜂窝网络之间的通讯基于不同的无线电频率波段。实际中,这些标准的使用取决于国家,区域,蜂窝网络运营商。虽然有的现代手机只能在特定区域使用,但是所有常见的频段如 GSM、 UMTS 和 LTE他们都支持。表2显示的现代手机支持的主要频率。每一个频段在频率数值一定的上方和下方范围内。例如,GSM 850 的频段是 824.2 MHz 和 894.2 MHz 之间。下表是国际标准 [39] 指定通讯标准的分配的频率。


4.2移动电话中的基带系统


现代手机包括至少两个独立的处理器 [9] [41]。一个是应用程序处理器,运行主要的操作系统(如安卓或iOS),进行图形用户界面的渲染,内存管理和进程调度。一个是基带处理器,它运行专用的 RTOS,管理无线电通信和维护协议栈。应用处理器和基带处理器从彼此独立工作,有单独的内存空间。然而,它们也会交换数据。例如,当拨号程序需要进行一个呼叫(应用处理器到基带处理器),收到短信手机的通知(基带处理器到应用处理器)。处理器之间的通信通常是通过一个共享内存段或专用串行接口 [9] [41] 进行的。和智能手机不同,低端手机,也提到作为功能手机,使用单个处理器来管理用户界面和蜂窝通信。对于功能手机,这种单一处理器也称为基带处理器。


4.2.1基带芯片构造


基带处理器是基带芯片的有机组成部分,该芯片由(1) 射频前端、 (2) 模拟基带、 (3) 数字基带和 (4) 基带处理器组成。[6] [41]


射频前端负责在物理层面上接收和传输信号,此组件包括: 天线,低噪声放大器 (LNA),混频器。模拟信号基带由一个数模转换器或模数转换器与射频前端进行沟通。数字基带包括数字信号处理器 (DSP) ,它是负责协议栈 (调制/解调信号和误差校正) 的最底层基础。基带处理器负责处理比协议栈更高和更复杂的图层。 DSP 和基带处理器之间的通信是通过共享内存接口 (图 2) 实现的。


5.发射部分


我们传输方式的物理基础是电磁能量辐射(EMR),这是一种电子设备运行过程中的能量排放形式。发出的波传播通过空间以辐射的方式传播。电磁波的传播有两个定义属性:赫兹 (Hz) 和振幅 (即强度,以dbm定义),在许多情况下,电子产品 (如线路、 电脑显示器、 显卡和通信电缆) 发出无线频率。他们的频率和幅值取决于其内部的电流和电压。先前的研究 [14] [23] [13] [42]从计算机组成和设计方向上有意或无意讨论过电磁波的排放。


我们认为计算机内存总线可以充当天线把无线电辐射到很远的位置。当CPU和内存交换数据时,从内存总线可以发射出无线电。发射频率以+、-200MHZ的环绕于内存总线的时钟震荡频率。因为需要电路中有很大的电压,所以正常情况下使用计算机不会产生很大的幅值。但是,我们发现,通过在多通道内存总线生成连续的数据流,是可能提高发射无线电波的振幅的。使用这个发现,我们就能通使用CPU指令开始和停止多通道传输来调制出可以作为数字信号载波的电波。


在本节的其余部分,我们将从底层向上描述发射机的设计。首先,我们讨论了载波 (信道频率) 的发出的无线电波。接下来,我们讨论一种通过总线调制二进制数据的方法。最后,我们提出一种简单的位框架协议来帮助接收机解调接收到的信号。由于本文的重点是拟议的隐蔽通道的可行性,我们不会详细地探讨所有可能的信号调制方式或二进制通讯协议。使用其他方式和协议更好完成目标应该是未来的研究方向。


5.1电磁波发射


多通道内存体系结构是一种技术,通过添加额外的线路,来增加内存模块和内存控制器之间的传输速率。多通道内存中的地址空间跨越多个物理内存条,必然要同时使用多个 (两个、 三个或四个) 数据总线传输数据。这种方式,可以在每次读/写操作时转移更多的数据。例如,支持双通道的主板有 2 x 64 位数据通道。一些计算机支持三通道内存,有的操作系统支持四通道。这种多通道内存体系在所有的Intel 和 AMD 主板上被使用。


在图 3 中,是故意让其发射无线电的双内存通道和普通使用计算机双内存通道无线电发射强度和频率的比较。所有通道都使用时,故意发射无线电的总线 (蓝色) 相比于正常使用计算机的总线(红色)能量增加。在频段 750-1000mhz中至少增加0.1到0.15db,在一些特殊频段上增加1到2.1dB。不同主板和内存技术产生的无线电频段见下表3。


基于我们的实验,我们发现当使用三个或四个总线来增加振幅时,无线电辐射几乎整个在如图三所示的范围内。这意味着,随着内存体系结构的发展,未来内存总线数目的增加,我们提出的泄密途径的质量会增加。请注意,这些无线电发射频率属于GSM、 UMTS 和 LTE频段,这就可以通过现代手机基带系统进行接收解码。


5.2信号调制


在通信中,调制是让模拟信号携带一些信息的过程。通常情况下,即使一个频率被选定为载波信道频率,在这个频率周围的频率也可以找到调制能量的大部分。有很多技术可以对载波进行调制以传输二进制数据,为了简单,只作为可行性演示,我们使用两种不同的无线电正弦波的幅度(B-ASK)传输,在指定的的时间中,高振幅表示1,低振幅表示0【43】。换句话说,把时间划分成指定的时间长度T,在一个时间间隔传输的幅值为高振幅,即为1,为低振幅,为0。我们这里的低振幅不是0,而是正常计算机的辐射水平。我们假设接收系统可以区分接收到的是正常强度还是高强度(详见第6节)。 具体用主板内存总线调制BASK形式的信号的方式如下:所有内存地址全都传送“1”并维持t秒,然后传输“0”,也就是什么都不做(此时为“随意的电磁排放”)。在这种情况下,发射频率f是主板的内存的时钟频率。


5.3调制算法


要传输 '1',就必须要一起利用多个内存通道 t 秒,为此我们使用SIMD指令集从CPU向内存传递随机生成长度的数据。单指令多数据流(SIMD)(single instruction multiple data),使用不同的64位或128位指令集,以便使用一个单一的指令处理更多块的数据。SIMD 指令通常用于需要向量化计算的 2D/3D 图形处理等,还有寄存器和内存之间的载入读出数据的指令传输。


我们使用英特尔和AMD CPU中的SSE指令集,实现BASK(二进制幅度键控)调制算法。SSE指令集有一个套128位(八字节)寄存器编号,从xmm0到xmm16,还包括一套从xmm寄存器到主内存的汇编指令[44] [45]。使用这些指令很可能会让CPU使用多个通道传输数据,以此来增大电磁辐射。


我们不得不克服的挑战之一是CPU缓存机制的使用。当处理器使用高速缓存层次结构时,并不能保证xmm 寄存器和主内存之间传输的数据会立即通过总线。这个不一致产生了一个如何使用 BASK算法调制的问题。因为数据必须在精确的时间范围内(T)启动和停止。


从SSE2指令集开始,有一套指令直接从主内存读写数据,并绕过了所有的高速缓存系统(无时间差)。具体来说,我们使用移动双四字无时差的指令,MOVNTDQ m128, xmm.。此指令的含义是将双四字(共16字节)从 xmm 寄存器复制到 128 位内存地址,同时尽量减少因为内存高速缓存层次结构造成的时差。


BASK调制算法(见图算法一)的工作方式如下,Transmit32()函数接收到32位的出栈数据,在堆上分配一个4096bit(32*128)的临时缓冲区(行1,2),把它作为一个进行 MOVNTDQ 操作的目的地。注意,申请的地址必须按SSE内存操作的要求进行16位地址对齐。在下一步第二行,我们设置T的时间是500ms,虽然短的T会使传输速度加快,但是也会增加错误率。用带有Calypso基带的摩托罗拉c123移动电话测试,500ms的结果令人满意。现代智能手机的基带系统的采样质量更高,有能力使用更短的T。用专业的接收仪器,在t为110ms时也能提供很好的接收质量(见第6节)。


外层循环 (第 3 行)对32位数组进行遍历并执行内存操作,以便生成无线电发射。当前的位为 '1' 时,循环反复使用 MOVNTDQ 指令将数据从 xmm 寄存器复制到堆中,直到 t 秒。相反,如果当前的位为 '0' 时算法要睡t秒。


5.4传输中使用的数据结构


我们之前提到过,当我们使用上文的BASK调制算法时,0是正常计算机的辐射量,1是显著高于(一些阀值)的辐射量。这有两个问题:(1)接收机不知道它所接收频段中的阀值应该是多少。(2)振幅的强度与计算机到接收机之间的距离有关,这意味着,用于接收的移动电话在传输数据或者有其他干扰存在,可能1,0不能被正确的区分。因此,为了使接收机和发射机同步,我们把数据装换为帧。把二进制数据分割成12bit 的有效载荷,有效载荷使用1010作为前导序列。前道码由接收器使用,来确认何时发送了一个帧,并确定一个1和0 的幅度水平。这个过程在6节中讨论。框架在传输发生之前初始化数据,当初始化完成,被处理数据进入算法1进行发射。


5.5发射机的隐蔽性和兼容性


发射机只使用很小的内存空间,CPU使用也很小,这使得传输更加隐秘。内存只使用堆上的4k内存,对CPU来说,发射机运行在一个单一的,独立的线程上。在操作系统上,传输过程无需系统或管理员权限。最后,代码只包含一些CPU指令,逃避了一些被恶意软件扫描系统注意的API调用。总之,传输代码逃避了通用的计算机安全机制,如API和资源监控,使行为很难追查到。


至于兼容性,自 2004 年以来, SIMD 指令已经被用于 x86-64 英特尔和 AMD 处理器上 [46] [47]以使得数据的传输适应于现代个人计算机和服务器。同样,在IBM上,由Power ISA v.2.03发起的Power 体系结构已经基本完成,它和SIMD相似。【48】


我们介绍的发射系统已经在Windows 7,64 位、 Linux Fedora 20 和 21 (64 位) 和 Ubuntu 12.1 (64 位)上成功运行。


6.接收系统


在本节中,我们描述如何在靠近发送方计算机的移动电话上接收,并解调出计算机发射的信号。我们通过修改手机基带的固件来实现 GSMem 接收器组件的建立。还会介绍我们接收机的结构执行情况和调制、解码机制。有趣的是,我们发现在某些情况下,我们发现通过没有更改基带固件的安卓手机,通过安装应用,也可以收到GSMem的信号,这种方法的有效距离为10cm,我们只是提供这样一种概念,并不提供直接的贡献。为了符合本文的核心内容,我们把这种概念的介绍推迟到附录A。


6.1接收机实现


传输数据的接收步骤按以下方式完成:(1)载波振幅取样。(2)降噪(3)前导码检测(4)分析有效载荷。在讨论实施框架之后,我们将对这些步骤进行描述。


6.1.1基带固件


第 1 节中讨论过,基带行业是被高度保护的系统,基带结构,ROTS协议栈都被严格的保护了起来[9] [10] [49]。基带技术的保密性和复杂性,尤其是没有可利用的信息比如源代码,使得修改二进制级别的代码是极其困难的[10] [49]。然而,有证据表明有一些攻击者为了执行恶意的活动,攻击了基带的固件设备[29] [31] [33] [50]。我们的Gsmem会基于开源GSM基带软件“OsmocomBB“[51]。


这个开源项目在2010年推出,它是自由调用GSM基带系统的唯一途径。osmocombb为GSM协议栈提供的源代码,以及数字和模拟基带芯片的设备驱动程序。该项目目前支持13款手机。大部分都是摩托罗拉生产的,他们使用德州仪器生产的Calypso基带芯片组。在我们的实验中,我们选用了摩托罗拉C123手机[ 52 ],它支持2G频段但没有GPRS,Wi-Fi或移动数据流量的功能。它是一个有限的手机,支持我们在第三节支持的攻击场景。值得注意的是,现代智能手机的基带组件在射频的接收和采样方面进行了硬件的改良,并采用了新技术如对LTEd的支持[ 6 ] [ 53 ],这意味着,使用现代设备的gsmem接收机可能会有更好的接收质量和传输速率。


GSM基带协议栈分为主要三个层[49],第一层是GSMem执行的最重要的部分。它负责处理射频接口,捕获在空气中的被调制的信号。在OsmocomBB中,在第一层的最底层是DSP(数字信号处理),基带处理器在它的上层。第一层除了电源管理等其他之外,他还负责获取特定频率(绝对无线频道编号)的原始信号功率(dBm)。请注意,测量射频功率级是任何基带芯片的基本功能[ 39 ]。基带处理器与数字信号处理器之间的相互作用如图4所示。


6.1.2固件修改


接收机的基带实时操作系统(RTOS)主程序被修改。图5显示了osmocombb初始化及主循环的步骤。在初始化(第2行)后,基带处理器进入事件循环(3号线)。事件循环连续处理一系列事件,包括键盘程序、定时更新和运行在层二和层三的程序。信号处理器,功率测量等调用中断。


为了实现接收机的功能,我们添加一个例程我们自己叫 ReceiverHandler() (第 8 行)。因为它放在主循环中,所以该例程在每次迭代时连续运行。 ReceiverHandler() 有三种可能状态: (1) 扫描的最佳频率 (2) 搜索前导码 (序言),和 (3) B -ASK信号解调。扫描状态是常规的初始状态。算法 2 中,给出了 ReceiverHandler() 的一种可行的伪代码。


6.1.3信号采样


检测 GSMem 传输的第一步是对载波f振幅的采样,请注意,这一步只发生在采样初期f被定义之后。每一次主循环运行receiverhandler(),算法2把DSP模块采样得到功率(振幅)(1行)并将其存储在一个缓冲区(2行)。这个数据会在以后的解调进程中使用。函数Measure()调用DSP的振幅测量函数l1a_l23_rx()。DSP以0.2Mhz为一个量度。我们的测试表明,这个基带可以在1.8kHz上测量样本的功率,因此1.8kbit是这个装置可以实现的最快的速度。这比我们实现的设备的处理能力快得多的速度,然而,考虑信号强度的测量才是改进GSMem最重要的因素。


6.1.4降噪处理


在测量功率之后,一个降噪函数使用的功率常数W是直达最后一次采样几次得到功率的平均数。此操作基本上是一个自回归滤波器,它是用于减轻高频噪声的有效技术。在我们使用摩托罗拉c123的实验中,我们设置w从50到750,这个数值直接影响到了传输的比特率。一个较大W数值提供更好的噪声抑制,而较小W比特率更快。


6.1.5最佳载波


在扫描状态下,接收机搜索最好的 频率 用于解调 GSMem 传输的信号,请注意,我们的发射机横跨 GSM-850/GSM-900 频段(图 3,第 5.1 条),f可以设置为那些频段的任何数值。然而,我们发现某些频率的干扰较多比如其他人正在使用蜂窝移动数据。因此,在扫描的状态中,更好的 频率提供更好的承诺信息速率(CIR) 。这个频率是通过扫描整个 GSM 850频段,并根据最小平均振幅挑选的(dBm)。我们的前提是最低平均振幅表明有较低的干扰,他可以使B-ASK算法更好的发现识别我们传输的“1”。在我们的实现中,进行完扫描之后,如果噪音过大30秒或者信号丢失30秒后, PREAMBLE状态改变为搜索前导码。


6.1.6前导码检测与解调


如果状态设置为前导码搜索,前导码搜索算法将会执行(算法2,7到11行),如果1010被检测到,就认为他是一个数据段的开始,改变状态,完成B-ASK的解调过程(12到18行)。前导码的作用是(1)把接收机与发射机同步(2)识别“0”和“1”的幅度水平a(3)如果不知道的话,确定信号的持续时间。如果移动电话在移动,动态设置振幅a是很必要的。例如,在离发射机很远的位置,小振幅会很合适。当前导码被检波,数据段就可以以前导码发送来的参数进行调解。


6.1.7信号丢失


在算法二的第十五行,返回给PREAMBLE的状态是,是否获得了整个数据段还是信号丢失。当信号接收时,如果信号强度小于前导码中的0的时间大于三秒,函数SignalLost()返回ture。在这种情况下,接收到的数据段会被丢弃或进行相应的标记。


7.评估


在本节中,我们评估了 GSMem作为通信信道的性能。除了评估我们已经详细介绍的,使用被修改基带固件的蜂窝基带接收器。我们还评估使用编程软件定义无线电 (SDR) 来通过专用的硬件接收接收信号。


7.1实验步骤


我们用改性固件的摩托罗拉 C123作为接收器进行本节中的所有实验。对于发射机,我们使用三种不同的桌面计算机,每个不同的配置和不同的情况。这些计算机的详细信息和测试的设置可以在表5中找到。注意,WS3是一个比其他计算机更强大的发射器,因为他的内存有一个四通道运行模式,采用了更宽的数据路径。在所有的实验中,发射机使用如节5中所述的4KB的分配方法,除非另有说明,我们使用T为1.8秒。接收器频率为绝对射频频道号25(下行940MHz)。


有几个影响无线信道质量的主要因素,通常情况下,通道的质量衡量考虑信号信噪比 (SNR),SNR ≡ 10log (p / p) = Pdb – pdb p是功率级(较大的SNR优于小的SNR噪声功率 p)。噪声功率p来自于自然产生的无线电和周围计算机的辐射。因此,为了匹配 3 节中的我们攻击情形,在这一节所有实验发生在距离几个活跃的台式电脑 10 米半径范围内空间。


接收器的位置发生变化时,有很多因素可以降低信噪比。因为我们处理一个低功率传输,所以我们不考虑性能,如多径传播(衰落)。相反,我们考虑因为接收器的位置和距离造成的对信道信噪比的影响。


7.2通道信号的信噪比(SNR)


第一组实验测试不同距离下的信噪比,图 6、 图 7 和图 8 显示接收器,在ws1,ws2,ws3三个不同状态下测得的最大测量幅度。在这里,ws1,ws2的内存为双通道,发射频率在1600Mhz,ws3的内存为双通道或四通道,他的发射频率在1833mhz或2133mhz。由图9所示,信噪比甚至在160cm处也是良好的(信号功率比噪音功率大)。这是对我们提出的这一种窃密方法有效距离的最好的说明。鉴于这些实践,我们认为我们的接收机会在距离桌面计算机160cm的范围内正常工作。


请注意,双模式的ws3比ws3和ws2有更大的优势,这是因为ws3的内存频率比其他的ws都要高。这意味着有更少的感染干扰,从而提高了信噪比。当使用了四通道时,信噪比进一步增大,这说明通道数越多,信号的质量越好。


在实验中,我们观察到对发射机和接收机的位置对信噪比有显著的影响。例如,对WS1的最佳位置(使用1600MHz)是在机箱前面,而对WS2的最佳位置是从后面。这种差异是由于机箱的形状和材料。机箱前部主要有塑料制成,阻挡了更少的信号。


为了增加的有效距离,我们定做了一块印刷电路板作为天线来优化400mhz到1000mhz的信号捕获,该天线连接到通用软件无线电外设上(USRP)。【55】


我们在不同距离测试WS3发射“0”和“1” 的信号强度,发射电脑10米半径内有正常工作的计算机。如图 13 所示,可以在 30 米内外收到信号。这相比于手机接收,是一个重大的改进,此外,接收机的硬件也并不昂贵。



8.对抗手段


对政府和军对来说,电磁安全(EMSEC)是保密的重点,尽管也偶尔有一些泄露【16】【56】。由于本文介绍了的泄密手段,一些区域可能被采取一些特殊的控制手段,比如禁止使用包括功能机在内的手机。如前文所述,通过专用设备造成的长距离的泄密也可能。在这方面,可以使用电磁隔离墙,使用钢筋混凝土或者使用法拉第笼来阻挡信号。然而,把每一台计算机都放在一个法拉第笼里是不可能的,在计算机内部屏蔽多通道内存总线的辐射是很难的,何况还有视频线等其他发射源。另一种防御是动态行为检测,尝试检测GSmem活动时的进程【9】【57】。然而,当基带固件作为gsmem接收机,特别是基带固件与操作系统分离时【49】,可能需要进行详细技术检测。


9.总结


在本文中,我们介绍了GSMem,它是盗取被隔离计算机中机密数据的一种方法。我们主要的贡献,包括独特的传输通道,一种可行的传送方法和一个不会引起怀疑而且几乎无处不在的接收器。隐蔽传输的电磁波在GSM、 UMTS 和 LTE 的蜂窝网络频率波段。传输软件利用特定内存相关 CPU 指令,利用多通道内存总线来放大传输功率。随后,传输的信号负责接收和解调的 rootkit与 手机基带在同一层级。请注意,不像最近其他一些的工作在这一领域的成果,GSMem 利用的组件几乎都是出现在任何桌面/服务器计算机和手机上的。此外,我们使用了那些没有 Wi-Fi、 相机或其他不必要的仪器的低级手机,他们即使是在安全意识较高的区域中也可以被使用。接下来,我们讨论发射机和接收机,我们介绍了关于信号的生成、 数据调制、 传输检测、 降低噪音和处理接收器移动的设计。在 Windows 和 Linux中测试我们的 GSMem。传输软件占用内存极小,很难被察觉。通过修改手机底层基带固件实现GSMem。我们提出它的体系结构,并讨论它的功能和局限性。我们还使用了不同的配置、 设置和各种参数去测试,用柱形图表示我们的测试结果。目前,我们设备的在1米到5.5米上可以使用蜂窝基带设备接收,我们还使用了价格合适的专用设备评估了GSMEM,让它的距离增加到30米或更多。我们相信,我们提出的新的泄密渠道会有助于提高业界对这方面的兴趣和认识。


参考文献


[1] GReAT team, "A Fanny Equation: "I am your father,


Stuxnet"," Kaspersky Labs' Global Research & Analysis Team, 17 2 2015. [Online]. Available: https://securelist.com/blog/research/68787/a-fannyequation-i-am-your-father-stuxnet/.


[2] A. Gostev, "Agent.btz: a Source of Inspiration?," SecureList, 12 3 2014. [Online]. Available:


http://securelist.com/blog/virus-watch/58551/agent-btza-source-of-inspiration/.


[3] N. Shachtman, "Under Worm Assault, Military Bans Disks, USB Drives," Wired, 19 11 2008. [Online]. Available:


://www.wired.com/2008/11/army-bansusb-d/.


[4] IT@Intel White Paper, IT Best Practices, Enabling Smart Phones in Intel’s Factory, Intel IT, 2011.


[5] L. Martin, "Important Information," Lockheed Martin, [Online]. Available: http://www.lockheedmartin.com/us/atl/maps/cherryhill/ information.html. [Accessed 17 2 2015].


[6] H. Welte, "Anatomy of contemporary GSM cellphone hardware," Unpublished paper, c, 2010.


[7] M. Degrasse, "Broadcom looks to sell baseband unit," RCRWirelessNews, 2 6 2014. [Online]. Available: http://www.rcrwireless.com/20140602/wireless/broadc om-exploring-sale-baseband-unit.


[8] R. P. Weinmann, "All your baseband are belong to us," hack. lu., 2010.


[9] R. P. Weinmann, "Baseband Attacks: Remote Exploitation of Memory Corruptions in Cellular Protocol Stacks," in WOOT, 2012.


[10] R. P. Weinmann, "Baseband exploitation in 2013: Hexagon challenges," in Pacsec 2013, Tokyo, Japan, 2013.


[11] R. J. Anderson, "Emission security," in Security Engineering, 2nd Edition, Wiley Publishing, Inc., 2008, pp. 523-546.


[12] R. J. Aldrich, "Shootdowns, Cyphers and Spending," in


GCHQ – The Uncensored Story of Britains Most Secret Intelligence Agency, Harper Press, 2010, pp. 201-226.


[13] W. van Eck, "Electromagnetic Radiation from Video Display Units: An Eavesdropping Risk?," Computers and Security 4, pp. 269-286, 1985.


[14] M. G. Kuhn and R. J. Anderson, "Soft tempest: Hidden data transmission using electromagnetic emanations," in Information Hiding, 1998, pp. 124--142.


[15] M. G. Kuhn, "Compromising emanations: Eavesdropping risks of computer displays," University of Cambridge, Computer Laboratory, 2003.


[16] J. McNamara, "The Complete, Unofficial TEMPEST Information Page," 1999. [Online]. Available: http://www.jammed.com/~jwa/tempest.html. [Accessed 4 10 2013].


[17] E. Thiele, "Tempest for Eliza," 2001. [Online]. Available: http://www.erikyyy.de/tempest/. [Accessed 4 10 2013].


[18] S. S. Clark, B. Ransford, A. Rahmati, S. Guineau, J. Sorber, K. Fu and W. Xu, "WattsUpDoc: Power side channels to nonintrusively discover untargeted malware on embedded medical devices," in USENIX Workshop on Health Information Technologies (Vol. 2013), 2013.


[19] U. Rührmair, X. Xu, J. Sölter, A. Mahmoud, M.
Majzoobi, F. Koushanfar and W. Burleson, Efficient power and timing side channels for physical unclonable functions, Springer Berlin Heidelberg, 2014.


[20] T. Halevi and N. Saxena, "A closer look at keyboard acoustic emanations: random passwords, typing styles and decoding techniques," in ACM Symposium on Information, Computer and Communications Security, 2012.


[21] M. Hanspach and M. Goetz, "On Covert Acoustical Mesh Networks in Air.," Journal of Communications, vol. 8, 2013.


[22] R. Callan, A. Zajic and M. Prvulovic, "A Practical


Methodology for Measuring the Side-Channel Signal Available to the Attacker for Instruction-Level Events," in Microarchitecture (MICRO), 2014 47th Annual IEEE/ACM International Symposium on, IEEE, 2014, pp. 242-254.


[23] G. Mordechai, G. Kedma, A. Kachlon and Y. Elovici, "AirHopper: Bridging the air-gap between isolated networks and mobile phones using radio frequencies," in Malicious and Unwanted Software: The Americas (MALWARE), 2014 9th International Conference on, IEEE, 2014, pp. 58-67.


[24] M. Hanspach and M. Goetz, "Recent Developments in Covert Acoustical Communications.," in Sicherheit, 2014, pp. 243-254.


[25] M. Guri, M. Monitz, Y. Mirski and Y. Elovici,
"BitWhisper: Covert Signaling Channel between AirGapped Computers using Thermal Manipulations," in arXiv preprint arXiv:1503.07919, 2015.


[26] P. John-Paul, "Mind the gap: Are air-gapped systems safe from breaches?," Symantec, 5 May 2014. [Online]. Available:
http://www.symantec.com/connect/blogs/mind-gap-areair-gapped-systems-safe-breaches.


[27] C. A., Q. Zhu, P. R. and B. T., "An impact-aware defense against Stuxnet," in American Control, 2013.


[28] J. Larimer, "An inside look at Stuxnet," IBM X-Force, 2010.


[29] D. Goodin, "Meet “badBIOS,” the mysterious Mac and PC malware that jumps airgaps," ars technica, 31 10 2013. [Online]. Available:
http://arstechnica.com/security/2013/10/meet-badbiosthe-mysterious-mac-and-pc-malware-that-jumpsairgaps/.


[30] J. Zaddach, A. Kurmus, D. Balzarotti, E.-O. Blass, A.
Francillon, T. Goodspeed, M. Gupta and I. Koltsidas, "Implementation and implications of a stealth harddrive backdoor," Proceedings of the 29th Annual Computer Security Applications Conference, pp. 279288, 2013.


[31] D. Goodin and K. E. Group, "How “omnipotent” hackers tied to NSA hid for 14 years—and were found at last," ars technica, 2015.


[32] J. Linden, "DeathRing: Pre-loaded malware hits smartphones for the second time in 2014," Lookout, 4 December 2014. [Online]. Available: https://blog.lookout.com/blog/2014/12/04/deathring/.


[33] M. Kelly, "MouaBad: When your phone comes preloaded with malware," Lookout, 11 April 2014. [Online]. Available: https://blog.lookout.com/blog/2014/04/11/mouabad/.


[34] M. Guri, G. Kedma, A. Kachlon and Y. Elovici, "AirHopper: Bridging the air-gap between isolated networks and mobile phones using radio frequencies," in Malicious and Unwanted Software: The Americas (MALWARE), 2014 9th International Conference on, IEEE, 2014, pp. 58-67.


[35] RSA Research Labs, "Anatomy of an Attack," 1 4 2011. [Online]. Available: https://blogs.rsa.com/anatomy-of-an-attack/.


[36] J. Scahill and J. Begley, "THE GREAT SIM HEIST:
HOW SPIES STOLE THE KEYS TO THE ENCRYPTION CASTLE," TheIntercept, 19 February 2015. [Online]. Available: https://firstlook.org/theintercept/2015/02/19/great-simheist/.


[37] F. Obermaier, H. Moltke, L. Poitras and J. Strozyk,
"Snowden-Leaks: How Vodafone-Subsidiary Cable & Wireless Aided GCHQ’s Spying Efforts," sueddeutsche, 25 November 2014. [Online]. Available: http://international.sueddeutsche.de/post/103543418200 /snowden-leaks-how-vodafone-subsidiary-cable.


[38] D. Sanger and N. Perlroth, "Bank Hackers Steal Millions via Malware," NY times, 14 February 2015. [Online]. Available:http://www.nytimes.com/2015/02/15/world/bankhackers-steal-millions-via-malware.html?_r=0.


[39] "Digital cellular telecommunications system (Phase 2+), Radio transmission and reception 12.4.0 12," ETSI 3GPP, January 2015. [Online]. Available: http://www.etsi.org/deliver/etsi_ts/145000_145099/145 005/12.04.00_60/ts_145005v120400p.pdf.


[40] Cellmapper, "Frequency Calculator," Cellmapper,[Online]. Available: https://www.cellmapper.net/arfcn.


[41] M. Shiraz, M. Whaiduzzaman and A. Gani, "A study on anatomy of smartphone," Computer Communication \& Collaboration, vol. 1, pp. 24-31, 2013.


[42] S. S. a. M. H. a. R. B. a. S. J. a. F. K. a. X. W. Clark, "Current events: Identifying webpages by tapping the electrical outlet," in Computer Security--ESORICS 2013, Springer, 2013, pp. 700-717.


[43] G. Patents, "Frequency shift keying". Patent US Patent 2,461,456, 8 February 1949.


[44] Intel, "Intel® Streaming SIMD Extensions 2 Store Intrinsics," Intel, [Online]. Available:
https://software.intel.com/sites/products/documentation/doclib/iss/2013/compiler/cpp-lin/GUID-19F086CAB0AE-4FC0-B5B5-A99AD5D62CFE.htm.


[45] AMD, "AMD64 Architecture Programmer’s Manual 128-Bit and 256-Bit XOP and FMA4 Instructions," 11 2009. [Online]. Available: http://support.amd.com/TechDocs/43479.pdf.


[46] "Intel Instruction Set Architecture Extensions - Advanced Vector Extensions," Intel, [Online]. Available: https://software.intel.com/en-us/intel-isaextensions#pid-16007-1495.


[47] AMD, "All SIMD All the Time," AMD, September 2007. [Online]. Available:
http://developer.amd.com/community/blog/2007/09/10/ all-simd-all-the-time/.


[48] IBM, "Power ISA™," 3 May 2013. [Online]. Available: https://www.power.org/wpcontent/uploads/2013/05/PowerISA_V2.07_PUBLIC.p df.


[49] H. Welte, "Anatomy of contemporary GSM cellphone hardware," unpublished paper, c, 2010.


[50] SRlabs , "Turning USB peripherals into BadUSB," [Online]. Available: https://srlabs.de/badusb/.


[51] OsmocomBB, "OsmocomBB," [Online]. Available: http://bb.osmocom.org/trac/. [Accessed 13 1 2015].


[52] "Motorola C123," GSM arena, [Online]. Available: http://www.gsmarena.com/motorola_c123-2101.php.


[53] C. Turner, "New CortexTM - R Processors for LTE and 4G Mobile Baseband," ARM, 22 February 2011. [Online]. Available:http://arm.com/files/pdf/new_cortexr_processors_for_lte_and_4g_mobile_baseband.pdf.


[54] "Ettus Research," [Online]. Available: http://www.ettus.com/.


[55] "LP0410 Antenna," Ettus Research, [Online].Available: http://www.ettus.com/product/details/LP0410.


[56] USAF, "AFSSI 7700: Communications and information emission security," Secretary of the Air Force, 2007.


[57] M. Guri, G. Kedma, B. Zadov and Y. Elovici, "Trusted
Detection of Sensitive Activities on Mobile Phones
Using Power Consumption Measurements,"
Intelligence and Security Informatics Conference (JISIC), 2014 IEEE Joint, pp. 145-151, 2014.


[58] ETSI, "Digital cellular telecommunications system:
Radio subsystem link control," ETSI, July 1996.
[Online]. Available: http://www.etsi.org/deliver/etsi_gts/05/0508/05.01.00_ 60/gsmts_0508v050100p.pdf.


相关新闻

大家都在学

课程详情

安卓安全实践

课程详情

Android基础编程

课程详情

分析Android