不联网物理隔绝的系统就很安全？黑客你还有风扇呢，看伊朗案例

　　从1988年第一个网络蠕虫病毒诞生以来，「互联网危机四伏」的观念就已经深入人心。如果只是这样，不给电脑联网、禁止使用任何可移动储存介质，数据就安全了吗？但专门研究黑客攻击技术的研究者告诉我们，这个想法太天真了。他们用实验证明，即使不联网，机箱里的风扇也能泄露你的机密信息。
　　这项研究的作者 Mordechai Guri 来自以色列本·古里安大学。在最近发表的一篇论文中，他提出了一种名为 AiR-ViBeR 的数据窃取技术。令人颇为震惊的是，这种技术的「窃取」方式是借助电脑内部的风扇振动。
　　简单地说，这一攻击分为三个步骤。首先，利用植入电脑中的恶意软件来控制风扇转速，以此来调节电脑产生的机械振动，数据会被编码到这些振动中；接下来，将智能手机放置在电脑桌上或靠近电脑主机的其他位置，手机中的加速度传感器可以用来收集振动信号；最后，通过 app 解码获取的信号。
　　过去五年来，Mordechai Guri 一直致力于找到一种让不联网的计算机向外界发送数据，但又不被发现的方法。AiR-ViBeR 是他设计的一堆稀奇古怪方法里最新的一种。
　　这项研究非常重要，因为那些存储了机密文件和知识产权的政府和公司内网，如今会面临着被攻破的危险。
　　这之前，Guri 教授的团队还提出过很多种从未联网计算机中窃取数据的方法，比如：
　　LED-it-Go：通过硬盘驱动器的 LED 指示灯从不联网计算机窃取数据； USBee：使 USB 连接器的数据总线发出电磁辐射，用以窃取数据； AirHopper：使用本地 GPU 卡向附近的手机设备发射电磁信号，也可用于窃取数据； PowerHammer：使用电源线从不联网计算机中窃取数据； ……
　　现有各种类型的攻击未联网计算机的方法。
　　在这篇最新发表的研究中，Guri 拓展了数据泄漏的全新媒介——「振动」。
　　具体来讲，Guri 观察到，CPU 风扇、GPU 风扇、电源风扇或者任何其他安装在电脑机箱上的风扇都可以产生振动。对于没有连接互联网的电脑，植入在系统中的恶意代码可以控制风扇转动的速度。所以，通过加快或减缓风扇的转动速度，攻击者可以控制风扇振动的频率。这种频率可以被编码，然后通过电脑桌等传播出去。
　　一个典型工作站中的 CPU 风扇（A）和机箱风扇（B）。其中，机箱风扇是本文研究者重点关注的对象。
　　接下来，附近的攻击者可以使用智能手机中的加速度传感器记录下这些振动，然后解码隐含在振动模式中的信息，进而对窃取自未联网电脑系统中的信息进行重建。
　　收集振动则可以通过以下两种方式完成：
　　如果攻击者可以物理访问未连接互联网的电脑或内网，他们只需要将自己的智能手机放在电脑桌上，无需接触被攻击的电脑就能收集到所需的震动； 如果攻击者无法访问未联网的电脑或内网，则可以利用目标公司的员工，令他们的智能手机感染上病毒。这样一来，这些员工手机上的恶意软件就可以替攻击者来收集振动了。Guri 认为这是有可能实现的，因为现代智能手机上的加速度传感器可以通过任何 App 来实现访问，并且不需要用户许可。这也使得这项技术能够很好地规避风险。
　　尽管 AiR-ViBeR 是一项非常新颖的工作，但通过振动传输数据的速度却非常慢，每秒仅有半个比特，是 Guri 和他的团队近年来提出的最慢的数据窃取方法之一。
　　即便理论上 AiR-ViBeR 是可行的，那些攻击者们也不会真的使用它，他们更可能选择其他速度更快的技术。
　　AiR-ViBeR app 接收到了利用风扇振动窃取自未联网电脑中的「秘密」信息（42 比特）。
　　如何防止 AiR-ViBeR 的攻击？
　　从振动检测层面来说 ，一种解决方案是，在包含敏感信息的计算机上放置加速度传感器，用以检测异常振动。
　　还有一种方案是「风扇访问监视器」，这是软件层面的对策 。一般在系统中，任何程序都不应该访问风扇控制，所以可使用端点保护来检测干扰风扇控制 API 或访问风扇控制总线的代码（比如 ACPI 和 SMBus）。但这种方法的缺陷在于，攻击者可以使用 rootkit 或其他规避技术，绕过监视器并访问风扇控制。
　　此外，也可通过切断或屏蔽原始传输来堵塞通信信道，这也是一种内部干扰方法 ，可以使用专门程序在随机的时间和 RPM 上更改风扇速度，但同样它也无法避免被内核 rootkit 禁用或规避。
　　目前，在安全性方面最受信任的外部干扰方法是将产生随机振动的组件连接到计算机上，该方法有一项弱点就是需要维护，无法做到在每台计算机上进行部署，但这种操作确实比较简单易行。
　　当然，还可以让计算机进行物理隔离 ，把它放进一种特殊的抗振机箱。或者用水冷系统代替原有的计算机风扇，只是这样的方案并不能大规模推广，并且很贵。
　　防御、检测、人为干扰三种类型的方法各有优缺点。
　　关于 AiR-ViBeR 的技术细节可以参考论文《AiR-ViBeR: Exfiltrating Data from Air-Gapped Computers via Covert Surface ViBrAtIoNs》
　　论文地址：https://arxiv.org/abs/2004.06195v1
　　扩展：
　　伊朗核设施爆炸，一万台离心机成为定时炸弹
　　伊朗核设施疑似受到网络攻击导致爆炸，伊朗进口的离心机可能早已被他人控制。7月2号，伊朗的一处核设施发生了爆炸。一天之后，伊朗政府便宣称已经找到了爆炸的原因，但由于多方面问题并没有对外公开。
　　通过伊朗政府的表态可以确定，这是一起针对伊朗核设施的袭击事件。其实看过这种这篇报道，我们可以总结出两个关键词。一个是＂纳坦兹＂因为这一地区有着大量的核设施，也让这一地区显得尤为敏感。第二个关键词就是＂离心机＂。
　　在今年的1月5号伊朗就已经宣布离心机的数量将不受限制，进入到第五个步骤，今后上万台的离心机有可能在纳坦兹高效运行，这一行为对突破红线会起到重要作用。所以西方国家，特别是美国、以色列有可能对一万台有着重大的＂仇恨＂。也会想通过各种手段比如网络攻击，包括其他手段对伊朗进行打击。
　　实际上，伊朗之所以怀疑是有他人破坏不无道理。回顾到2010年，也就是在纳坦兹地区，正在运转的离心机曾经也出现过故障。上千台的离心机突然停转，而且无法修复，是一种不可逆的伤害。当时10年的病毒攻击原理很简单，正常的离心机转速是800到1000赫兹。但是受到攻病毒攻击以后，就会让离心机在2转和1600转之间交替，处于一种急停和极速运转的状态。这也就导致了机芯过热和整个系统的故障。更可疑的是，当时几千台离心机的故障原因竟然无法查明。
　　这次情况与上次有所不同。这次是在离心机的组装阶段就已经出现了问题。这样一来就形成了即将组装的离心机和正在运转的离心机两个要素全部加入其中，对于伊朗上万台离心机的目标，造成了严重的阻碍作用。在这个时刻对伊朗的这个点位进行攻击，想必这个＂核＂字是西方国家最看重的。
　　其实在当下的信息时代，网络攻击完全可以直接造成伊朗核设施的爆炸。如果是网络植入病毒让离心机的运转出现异常，那么病毒很有可能是在安装离心机的过程中，就已经取得了超越伊朗方面的优先控制权，从而进行参数上面的修改，造成机器的物理性损害。
　　早在20年前。当时的人们曾经认为病毒只会造成软件伤害，不会直接攻击到硬件。但实际上在20多年前流行的计算机病毒就已经开始破坏我们的计算机硬件设备。所以说这样的攻击技术早已不是问题，真正的难点在于病毒是如何被植入到伊朗的控制系统中的。伊朗的纳坦兹基地不可能是一个不设防的网络状态，一定是有着严密的防火墙保护。但是如果伊朗的铀浓缩设备本身的计算机系统，早就被植入了病毒，这个时候伊朗的防火墙就形同虚设，相当于在伊朗的防火墙拦截之前，就已经在母体上安装了相应的病毒，这种情况下防火墙是无能为力的。
　　这种情况发生的可能性非常大，毕竟伊朗的铀浓缩设备不是本国自产，而是从国际市场上购买的。假如说外界盯住这些设备，在国际市场上对其原器件的源头进行破坏，那么在伊朗最后实际上安装的并不是铀浓缩机，而是一颗颗听边指挥的＂定时炸弹＂。