通过发热量、辐射、风扇噪声等入侵物理隔离网络案例（9月6日更新全部视频）

前言

物理隔离系统其实并不是百分之百安全的，因为现在有很多种方法能够允许攻击者从一台没有联网的计算机中窃取信息。每一种技术的实现方式是不一样的，而且每一种技术在进行信息提取的时候所依赖的载体也不同，有的利用的是噪音，有的则利用的是电磁波。

值得注意的是，攻击者同样可以使用这些方法来从一台接入了网络的设备中窃取信息。因为很多网络系统为了防止敏感信息被盗，会对进出系统的网络流量进行严格的把控，这时候攻击者就可以利用本文即将介绍的技术来从这些系统中提取数据了。

一、利用设备发热量入侵未联网的PC（BitWhisper攻击）

在2015年3月份，来自以色列本古里安大学的安全研究人员（Mordechai Guri， Matan Munitz和Yuval Elovici教授）设计出了一种能够从物理隔离系统中窃取数据的方法。这种方法能够帮助攻击者与目标系统建立一条隐蔽的通讯信道，并可以通过检测计算机的发热量来窃取信息。

这项新型的攻击技术名为BitWhisper，攻击者可以利用这项技术来窃取类似加密密钥这样的敏感信息。BitWhisper技术可以利用计算机内部各个组件的发热量来在两台计算机之间建立一条双向通信信道。安全专家解释称，如果要从一台物理隔离的计算机中窃取信息，攻击者首先要感染另一台同样处于该物理隔离系统中的计算机。值得注意的是，通过BitWhisper技术所建立的隐蔽信道还可以用来发送控制命令，并帮助攻击者窃取敏感数据。虽然BitWhisper攻击非常的复杂，但是有趣的地方就在于我们无需对硬件做任何的修改。

这种处于概念验证阶段的攻击手法要求两台计算机都要预先植入恶意软件。不仅如此，目前这项技术的数据传输速率也低得可怜，一个小时仅能传输八位数据。话虽如此，但是用来发送简单的控制命令或者窃取密码已经足够了。还有一个限制因素，就是两台计算机的间距不能离得太远（40厘米以内）。实际上，这也并不能算它的一个缺点。因为在现实中，物理隔离系统往往就放在联网机器旁边。目前的成果仅是这项研究的第一阶段，研究人员下一步打算增加物理隔离系统与控制主机的距离，并提高数据传输速率。

我们都知道，计算机需要处理的数据量越大，设备的发热量也会随之升高。为了实时监控温度，计算机往往内置了许多热传感器，一旦发现机器变热即会触发散热风扇对系统进行散热处理，甚至在必要时关闭计算机以避免硬件造成损害。

研究者正是利用这些热传感器来发送指令给气隙系统或者从中获取数据。实际上整个过程跟摩斯密码有点类似，发送方系统可以利用受控设备的温度升降来与接收方系统进行通信，然后后者可以利用内置的热传感器侦测出温度的变化，再将变化转译成0和1这样的二进制代码。

举个例子，在下方给出的演示视频中，安全研究人员在预设的时间内将发送方系统的放热提高了1度，而接收方系统（气隙系统）由于离发送方系统比较近，所以温度也会升高，其热传感器检测到了1度的升温后，就知道发送方发过来了“1”；反之，发送方也可以通过降温1度的方式来传送“0”。如此反复几次，发送方就能够将控制命令以二进制数据的方式传送给目标物理隔离系统了。至此，大家可以设想一下，如果攻击者通过这种手段来攻击导弹发射系统，然后变更了敌方导弹的发射方向，其后果将是致命的。

BitWhisper技术的演示视频：［点我观看］

二、通过无线电波窃取加密密钥

在此之前，安全研究专家Daniel Genkin和他的同事们设计出了一种能够从物理隔离的计算机中提取数据的方法。由于在计算机解密数据的过程中，CPU会发出特定的噪声，所以他们便可以通过分析CPU所发出的声音来提取出有价值的信息。

现在，来自以色列特拉维夫大学的安全研究人员Lev Pachmanov、 Itamar Pipman和Eran Tromer在Daniel Genkin所做研究的基础上，结合计算机解密过程中会产生CPU噪声的研究结论，演示了如何通过分析计算机所发出的无线电波窃取加密密钥。除此之外，Genkin还演示了破解4096位RSA密码的方法。

研究报告表明，电脑所发射的无线电波将会意外泄漏加密密钥，而利用廉价的消费级设备就可以从无线电波中提取出泄漏的密钥。为了证明这一理论，安全研究专家对系统在解密指定密文时所产生的电磁信号进行了分析。结果证明，在短短的几秒内，研究人员就成功地提取到了笔记本上的GnuPG软件私有解密密钥。在这次实验过程中，研究人员使用Funcube Dongle Pro+测量了在1.6至1.75 MHz频率之间的电磁信号，其中Funcube Dongle Pro+与一个安装了Android系统的嵌入式计算机Rikomagic MK802 IV相连接。

安全研究人员表示：“我们已经从运行了GnuPG软件的各种不同型号的笔记本中成功地提取到了密钥，而且整个过程仅需要几秒钟的时间。在攻击的过程中，我们向目标设备发送了一段经过精心设计的密文，当目标计算机在解密这些密文的时候，它们便会触发解密软件内部某些特殊结构的值。这些特殊值会导致笔记本电脑周围的电磁场发生比较明显的变化，而攻击者则可以直接从这些电磁场波动中通过信号处理和密码分析技术推导出密钥。”

实际上，早在好几年以前就已经有安全研究专家提出了“利用电磁辐射来窃取计算机中的加密密钥”这种设想了，但是要实现这种攻击其实并不容易。

电脑附近的任何电子设备都可以接收到无线电波信号，例如将你的手机靠近电脑的音响，你就会听到音响发出的一些“滋滋”声。这种攻击的关键点在于攻击距离的远近，如果能在距离十米左右的另外一间房子里发起攻击，那么这种攻击的杀伤力将会非常恐怖。如果需要在20厘米之内才能发动攻击，那么这种攻击的危险性将会降低很多。

尽管技术上可以实现，但研究人员的实验证明，想要在现实生活中使用这种攻击技术的话，目前仍然比较困难。因为计算机通常会同时执行多个任务，这就使得分析计算机中某一特定活动所产生的电磁信号难度大幅增加。

三、通过智能手机入侵物理隔离网络

几乎每一个对信息安全要求很高的工作环境都会有严格的安全保护措施，而物理隔离系统则更是常见。不仅如此，很多公司甚至还会禁止员工在公司内使用任何形式的USB设备。而且当工作需要涉及到类似商业机密这样的敏感信息时，某些公司的安全政策还会禁止员工在工作期间携带自己的智能手机。

那么如何才能入侵一台极其安全的未联网计算机呢？其实你可能会感到惊讶，因为你并不需要任何的技术或者设备就可以实现。实际上，一台普通的智能手机就可以帮助你成功入侵一台物理隔离计算机。

一群来自以色列的安全研究专家们设计出了一种新的攻击方法，这种方法可以从一台安全系数非常高的未联网计算机中窃取数据。所需的工具只有三样：GSM网络、一台普通的智能手机、以及电磁波。

这个有趣的研究项目由安全专家Moradechai Guri牵头，参与了该项目的安全研究人员还有Gabi Kedma，Yisroel Mirsky，Ofer Hasson，Assaf Kachlon和Yuval Elovici。他们在实验的过程中，使用了一台摩托罗拉C123手机来进行攻击，并且在目标计算机和手机中都安装了恶意软件。由于计算机在处理或发送数据的过程中，通常都会向外发射出电磁波信号，所以研究人员就可以通过他们所开发出的恶意软件来捕获这些无线电波，并从中提取出数据。

但是这也意味着，攻击者如果想要从一台被隔离的计算机中窃取数据的话，那么他必须先在这台目标计算机中安装恶意软件。

四、通过声波来远程窃取物理隔离网络中的数据（Funtenna攻击）

另外一种能够从物理隔离系统中窃取数据的方法是通过声波来实现的。在2015年Black Hat黑客大会上，安全研究人员展示了一种新型的黑客技术－“Funtenna”。 在Funtenna技术的帮助下，研究人员可以通过声波来窃取存储在物理隔离计算机中的数据。除了无需连网之外，这种技术还可以躲避网络流量监控和服务器防火墙等安全防护措施的检测。

那么这种利用声波来窃取电脑数据的方法是否可行呢？事实上，Funtenna技术的诞生就已经证明了这种攻击方法的可行性。

首先，攻击者必须要在目标设备中安装好恶意软件，目标设备可以是打印机、办公电话或者电脑。因为Funtenna技术可以利用联网设备来传送声波数据，而这种声波是人耳无法听到的。恶意软件可以控制目标设备的电子电路，并使其以攻击者预先设定好的频率振动，这样就可以向外发送无线电信号了。接下来，攻击者就可以使用AM收音机的天线来接收这些信号了。但是距离不能间隔太远，否则信号的衰减可能会导致数据出现错误。

实际上，Funtenna技术是一种“硬件无关”的技术，而且窃听设备本身就是一个声波信号发射器。因此，Funtenna技术可以绕过目前所有传统的网络安全防护措施。

安全研究人员发布的攻击演示视频：

视频一：

视频二：  

Red Balloon安全公司的首席研究员Ang Cui表示：“尽管你有网络检测和防火墙等安全防护措施，但是通过这种方式来进行传输的数据是这些安全防护措施无法检测到的。这也就意味着，我们其实并不能完全确定自己的网络是否安全，我们仍然面临着巨大的挑战。”

五、通过风扇噪声来窃取加密密钥

是的，你没看错。来自以色列本古里安大学的安全研究人员开发出了一种名为“Fansmitter”的恶意软件，这款恶意软件可以通过风扇噪声来窃取数据。

这款恶意软件可以让电脑风扇以不同的转速旋转，并以此产生不同频率的噪音，然后利用这些噪声来窃取数据。 因为所有的计算机数据都是0和1的组合，所以Fansmitter可以控制电脑的风扇转速，并可以使其以两种不同的速度旋转，分别对应于二进制代码中的0和1。

Fansmitter可以控制CPU，GPU或机箱风扇，并在一至四米内有效。研究人员认为这是一个可靠的距离，可以让智能手机或专门的录音设备记录风扇噪音。Fansmitter攻击的缺点是数据传输的速度缓慢，在实验过程中，研究人员使用1000rpm代表“0”和1600rpm代表“1”，结果每分钟能够窃取的数据量只有3比特。通过使用4000rpm和4250rpm分别代表“0”和“1“的，每分钟能够窃取到的数据量可以达到15比特。

当然了，这种恶意软件也有它的局限性。研究人员表示，该恶意软件每分钟最高只能传送长度为15位的数据，但这对于发送密码和加密密钥而言已经足够了。通过这种方式来攻击计算机其实并不是很现实，但考虑到目前大多数计算机和电子设备都配备有散热风扇，所以从某种程度上来说，这类设备都存在遭到攻击的风险。

但是研究人员认为，我们仍然可以通过其他的方法来避免此类物理隔离系统受到此类攻击的影响。他们可以在计算机中使用水冷系统替代风扇。另外，他们也可以选择禁止在物理隔离设备附近使用手机。

六、通过硬盘噪音来攻击物理隔离计算机

与之前所介绍的攻击技术一样，这种攻击方式仍然需要涉及到恶意软件的使用。来自以色列本古里安大学Negev网络安全研究中心的研究人员已经找到了使用硬盘噪音来从物理隔离计算机中提取数据的方法了。

因此让我们先假设某人设法在目标设备上安装了这款名为“DiskFiltration”的恶意软件。该恶意软件的目标是在感染主机中搜寻密码、加密密钥、以及键盘输入数据。当找到所需的数据之后，恶意软件就会控制硬盘的读写臂，进行模拟的“查找”操作。于此同时，该软件还可以通过控制硬盘上驱动器机械臂的运动来产生特定的音频。

利用这种方法，攻击者就可以从那些受到严密安保系统保护的计算机中窃取数据了。但是目前这种技术的有效工作距离只有 6 英尺，传输速率为每分钟180比特，并且能够在二十五分钟内窃取 4096 位长度的密钥。

当今的许多硬盘都带有一种被称为自动声学管理 (Automatic Acoustic Management, AAM) 的特性，能够专门抑制这类的查找噪音，避免此类攻击。研究人员称其实验是基于AAM常开的条件之上进行的。

当这款恶意软件运行在智能手机或其它带有录音功能的设备附近时，它会对某一频段的音频信号进行监听，并且以每分钟读取180位数据的速度来解析音频信号中的二进制数据，其可支持的运作距离最大为两米。

当然了，用这个速度可没法下载电影，但对于窃取密码和密钥这样的数据而言，这已经足够了。不过这些技术也存在非常大的局限性，比如说，如果给电脑换上了非机械结构的固态硬盘，黑客就无法利用 DiskFiltration来窃取数据了。

七、利用USBee来从物理隔离网络中提取数据

早在2013年，美国国家安全局前雇员Edward Snowden就曾公开向外界演示过如何通过一个改装过的USB设备窃取目标计算机中的数据。而就在近日，以色列的一家科技公司开发出了这一恶意软件的升级版，攻击者现在可以在不需要改装USB设备的情况下实现无线传输数据。

Mordechai Guri不仅是Ben-Gurion公司网络安全中心的负责人，而且他还是Morphisec终端安全公司的首席科学家。他的团队成功设计出了一种名为“USBee”的新型攻击技术，这种技术可以从物理隔离网络中提取数据。除了“USBee”之外，该团队还开发了许多类似的软件，包括可以把电脑的显卡变成一个FM信号发射器的AirHopper，可以利用热交换传输数据的BitWhisper，可以利用无线信号频率的GSMem，以及可以利用电脑风扇噪音传输数据的Fansmitter。

实际上，“USBee”是一个安装在目标计算机中的恶意软件，因为它就像是在不同花朵之间往返采集蜂蜜的蜜蜂一样，它可以在不同的电脑之间任意往返采集数据，因此得名“USBee”。

USBee技术可以通过电磁信号来完成数据的传输，并且使用GNU无线电接收设备和解调器来读取无线电信号。这也就意味着，即便是一台没有联网的计算机，如果感染了USBee的话，仍然是有可能泄漏机密数据的。

安全研究人员在报告论文中写到：“USBee这款应用程序只依靠软件就可以利用USB适配器的电磁辐射实现短距离数据提取，这和其他的方法是完全不同的，因为我们不需要给设备添加任何用于接受无线信号的硬件设备，我们可以直接使用USB的内部数据总线就可以实现信号地接收和读取。”

USBee几乎可以在任何符合USB 2.0标准的USB存储设备上运行。它的传输速率大约是每秒80个字节，更加形象地来说，它可以在十秒钟之内将一个4096位的密钥弄到手。在普通的U盘上，USBee的传输距离约为2.7米，而如果是带有线缆的USB设备，我们就可以将其电线作为接收信号的天线来使用了。这样一来，我们的攻击距离将可以扩大到8米左右。

USBee的工作原理是通过向USB设备发送一系列“0”来使USB发出频率在240至480MHz的电磁信号。通过精准地控制这些频率，电磁辐射可以被调制成信号传输器，并由附近的接收器读取并解调。值得注意的是，这种软件发射器不需要对USB设备做任何硬件方面的改动。

用于创建电磁载波的算法如下：

inline static void fill_buffer_freq
 
(u32 *buf, int size, double freq)
 
{
 
int i = 0;
 
u32 x = 0;
 
double t = freq / 4800 * 2;
 
for (i = 0, x = 0x00000000; i 
{
 
x = x<<1;
 
if ((int)(i*t)%2==0)
 
x++;
 
if((i%32)==31)
 
{
 
*(buf++) = x;
 
x=0x00000000;
 
}
 
}
 
}

当然，USBee这样的恶意软件绝对是非常高端的攻击工具，一般只有国家级秘密间谍才会使用。正如2013年Snowden所展示的那样，美国国家安全局正在研究这些攻击方法。鉴于USBee的种种优点，我们绝对有理由相信NSA这样的国家安全机构已经掌握这种信息窃取技术了。

攻击演示视频: https://yunpan.cn/cMNAIgppQmd9g 访问密码 c00d

总结

这些攻击技术虽然在理论上是可行的，但在实际生活中想要使用的话，将会受到了很大的限制。因为就目前的情况来看，其中绝大多数攻击方法的实现前提是目标计算机必须感染恶意软件。如果面对的是一台没有接入网络的计算机，那么想要对其进行感染是非常困难的，一般只有通过物理访问才可以做到。可是如果可以实现物理访问的话，还不如直接从目标计算机中窃取数据来得方便。

想必大家也已经发现了，如果要最大程度地去保证一台计算机的安全，那么仅仅将网络通信断开是远远不够的，我们仍然还要部署大量严格的安全保护措施。而且在军事网络和工业控制系统这样的对安全要求极高的系统中，更加容不得半点的差错。

不幸的是，攻击者如果有足够的耐心，那么他迟早都会找到绕过这些安全保护措施的方法。所以在这个世界上，没有绝对安全的系统。

参考资料

1.http://securityaffairs.co/wordpress/50245/hacking/diskfiltration-air-gapped-networks.html

2.http://securityaffairs.co/wordpress/35298/hacking/bitwhisper-air-gapped-pcs.html

3.http://securityaffairs.co/wordpress/38908/hacking/air-gapped-computer-hacking.html

4.http://securityaffairs.co/wordpress/48025/hacking/encryption-keys-exfiltration.html

5.http://securityaffairs.co/wordpress/48678/hacking/fansmitter-exfiltrating-data.html

6.http://securityaffairs.co/wordpress/39167/hacking/funtenna-hacking-technique.html

7.http://securityaffairs.co/wordpress/37950/hacking/stealing-crypto-keys-radio-emissions.html

8.https://www.rt.com/usa/311689-funtenna-hacking-sound-waves/

9.http://cyber.bgu.ac.il/blog/bitwhisper-heat-air-gap

10.https://arxiv.org/abs/1608.03431

11.http://www.tau.ac.il/~tromer/radioexp/

12.http://cacm.acm.org/magazines/2016/6/202646-physical-key-extraction-attacks-on-pcs/fulltext

13.https://arxiv.org/ftp/arxiv/papers/1606/1606.05915.pdf

14.https://www.usenix.org/conference/usenixsecurity15/technical-sessions/presentation/guri

15.http://securityaffairs.co/wordpress/50811/hacking/usbee-air-gapped-networks.html

16.https://arxiv.org/ftp/arxiv/papers/1608/1608.08397.pdf