Електромагнітне випромінювання процесора видало замасковане шкідливе ПЗ
Французькі дослідники розробили метод, що дозволяє виявити роботу шкідливого програмного забезпечення на пристроях інтернету речей без безпосереднього доступу до них. Він заснований на атаці по сторонніх каналах, при якій чутливий прилад вимірює електромагнітне випромінювання від процесора, що виконує шкідливий код, а потім нейромережа розпізнає в цих сигналах патерни, типові для виконання саме цього коду. Стаття була представлена на конференції Annual Computer Security Applications Conference, загальнодоступний препринт опублікований в архіві препринтів HAL.
У світі існують десятки мільярдів пристроїв інтернету речей (IoT), істотна частина з яких працюють на базі повноцінних операційних систем і навіть підтримує оновлення - а значить, пристрої потенційно можуть завантажувати і виконувати шкідливий код. При цьому, на відміну від комп'ютерів, мережевого обладнання та інших типів пристроїв, розробники IoT-пристроїв традиційно приділяють набагато менше уваги аспектам безпеки, тому в них набагато легше виявити і використовувати вразливість, а часто не потрібно і цього, тому що часто в гаджетах використовують стандартні слабкі паролі (хоча в деяких регіонах вони законодавчо заборонені). В результаті зловмисники все частіше фокусуються на пристроях інтернету речей і кількість їх атак щорічно збільшується в рази.
Потенційно для захисту від шкідливого ПЗ можна було б використовувати антивіруси, але більша частина подібних гаджетів не має для цього достатньо обчислювальної потужності і пам'яті. І навіть якщо б вони підтримували антивіруси, шкідливе ПЗ часто використовує обфускацію коду або працює на рівні ядра, що ускладнює виявлення програмними методами. Вчені з Дослідницького інституту комп'ютерних наук і випадкових систем під керівництвом Аннелі Хойзер (Annelie Heuser) запропонували використовувати для виявлення шкідливого ПЗ в IoT-пристроях, у тому числі обфусційованого, атаку по сторонніх каналах. Так називають атаки, які виробляються не на саму програмну (логічну) частину системи, а на її практичну реалізацію. В даному випадку дослідники застосували атаку з електромагнітного випромінювання, засновану на тому факті, що при виконанні обчислень процесор генерує електромагнітне випромінювання, залежне від типу операції.
Принцип атаки, розробленої дослідниками, заснований на нейромережі, яка навчається класифікувати запис електромагнітних сигналів, ставлячи їх до нормальних процесів або того чи іншого типу шкідливого ПЗ. Після запису сигналу він перетворюється на спектрограму, і це зображення подається на згорточну нейромережу. Кілька окремих нейромережевих моделей навчили визначати різні параметри, такі як тип ПЗ (DDoS, вимагач, руткіт і нормальний, не шкідливий код), сімейство шкідливої програми, тип обфускації тощо.
В якості модельного IoT-пристрою дослідники використовували одноплатний комп'ютер Raspberry Pi 2B, що працює на основі ARM-процесора. Сигнали від процесора реєстрували за допомогою електромагнітного зонда, підключеного до осцилографа, вони записували відрізки по 2,5 секунди. Запускаючи програми на Raspberry Pi, вони записали 100 тисяч відрізків: по 3000 для 30 шкідливих програм і ще 10000 для нормальної активності. Тести показали високу ефективність методу. Зокрема, він дозволив розпізнати тип виконуваної програми з точністю 99,82 відсотка.
Атаку з електромагнітного випромінювання процесора можна проводити і для отримання більш цінних даних. Наприклад, раніше ми розповідали про успішну атаку такого типу на алгоритм шифрування AES-256.