Nếu muốn khai thác điểm yếu, tấn công vào lỗ hổng trên một mạng hay hệ thống máy tính đã được phòng vệ vững chắc, hacker sẽ phải tìm kiếm được một bước đột phá mới trong công nghệ hay một hướng tấn công mới. Trong khi đó, một kênh truyền thông hoạt động ngầm là rất khó để người dùng thông thường nhận biết được. Bằng việc khai thác các phương tiện truyền thông sử dụng cho kênh ngầm, người ta có thể tấn công, phá vỡ hoặc gây ảnh hưởng tới chính sách an toàn hệ thống mạng. Trong một hệ điều hành, các kênh ngầm thường được thiết lập bằng cách khai thác truy cập các tài nguyên chia sẻ giữa các tiến trình.
Một câu hỏi được đặt ra là: Có thể thiết lập được một kênh ngầm giữa hai hệ thống máy tính khác nhau dựa vào một giao diện kết nối mạng mới? Từ nhận xét rằng: bên cạnh các tín hiệu radio được thiết lập để sử dụng trong truyền thông, sự phát tán quang hay tín hiệu âm thanh cũng có thể được sử dụng phục vụ cho truyền thông, hai nhà khoa học thuộc Viện Nghiên cứu FKIE (Đức) là Michael Hanspach và Michael Goetz đã xây dựng kịch bản và thử nghiệm thành công việc tạo ra kênh ngầm truyền thông sử dụng tín hiệu âm thanh không nghe thấy được.
Thiết bị phục vụ cho việc tạo ra kênh truyền thông ngầm cần phải có những tính chất như sau:
- Có thể sử dụng như một thiết bị truyền nhận; Có khả năng phát và thu các tín hiệu vật lý;
- Có ảnh hưởng tới tiến trình gửi - nhận;
- Chưa được sử dụng cho mục đích truyền thông “công khai”, do đó nó cũng chưa được đề cập trong các chính sách mạng và hệ thống;
- Có khả năng hỗ trợ kênh truyền thông ngầm, có thể chống được sự phát hiện dò tìm kênh ngầm.
Theo đó, kênh ngầm phát tán âm thanh bằng việc sử dụng loa và microphone (thường có sẵn trong hệ thống máy tính thông thường) như những thiết bị truyền nhận có tương đối đầy đủ các tính chất như trên. Ngoài ra, khi âm thanh được truyền đi bằng dải tần số không nghe thấy được (tần số sóng siêu âm), chúng trở thành một kênh ngầm rất khó phát hiện. Kênh ngầm này được sử dụng không chỉ để truyền thông giữa 2 máy tính riêng biệt, mà còn có thể sử dụng để tạo nên một mạng truyền thông nhiều nút với nhiều thành phần khác nhau cùng tham gia, với khả năng mở rộng quy mô lớn. “Mạng âm thanh ngầm” cũng cho phép đưa các dịch vụ ngầm vào trong hệ thống, bao gồm cả quyền truy cập Internet thông qua IP proxy.
Kịch bản đơn giản nhất cho truyền thông ngầm giữa hai máy tính như sau:
Thử nghiệm đo lường thực tế.
Thử nghiệm về tần số hoạt động
Hệ thống thử nghiệm này gồm 05 máy tính xách tay (Model: Lenovo T400) được sử dụng làm các thành phần trong mạng. Hệ điều hành được cài đặt là Debian 7.1 và không cần thêm bất cứ thiết bị hỗ trợ âm thanh nào.
Với phần mềm điều khiển audio ICH 9 được tích hợp sẵn trong Lenovo T400, có thể thu được dải tần khi kết nối trực tiếp giắc vào/ra thu. Từ dải tần số thu được, có thể xử lý tín hiệu trong dải tần số siêu âm thấp, khoảng 20.000Hz.
Thử nghiệm về khoảng cách
Hai máy tính xách tay (MTXT) được kết nối nhằm đánh giá khoảng cách có thể làm việc được khi kết nối bằng mạng âm thanh: Hai máy tính này được đặt sao cho có thể “nhìn” thấy nhau trực tiếp, khoảng cách đặt 2 máy được tăng dần cho mỗi lần có thể truyền nhận thành công. Tín hiệu âm thanh bị suy yếu khá nhiều sau khi phát đi do bị hấp thụ, phản xạ trên đường truyền, dẫn đến việc giảm âm lượng ở tín hiệu thu được. Thí nghiệm được thực hiện sử dụng 2 loại modem khác nhau như sau:
- Thử nghiệm với mini modem
Khoảng cách có thể liên lạc được khi sử dụng mini modem là 3,4m, với dải tần từ 18.000-18.500 Hz, tốc độ đạt được là 20 bit/giây. Thử nghiệm cho thấy, có xuất hiện lỗi bit xảy ra và frame không có khả năng sửa lỗi nếu nó có 2 bit sai. Với tần số này, mạng âm thanh hoạt động tương đối yên tĩnh, chỉ nghe thấy những tiếng động rất nhỏ trong quá trình truyền. Ta có thể giảm âm lượng ở bộ phát tới mức không nghe thấy gì, tuy nhiên khi đó khoảng cách và chất lượng liên lạc cũng sẽ hạn chế hơn.
- Thử nghiệm với ACS (Adaptive Communication System) modem
Sử dụng ACS modem cho kết quả tốt hơn rất nhiều, khoảng cách có thể liên lạc thành công lên tới 19,7m với tốc độ 20 bit/giây và hầu như không thấy có bit sai trong quá trình truyền.
Thử nghiệm kết nối nhiều trạm sử dụng ACS modem
Các mô hình dịch vụ, ứng dụng
Các nhà nghiên cứu cũng đã thử nghiệm một số mô hình tấn công sử dụng mạng âm thanh ngầm như sau:
- Sử dụng phần mềm logkey
Kết luận
Nghiên cứu và thử nghiệm trên cho thấy, trong điều kiện thí nghiệm, không cần thêm bất cứ một thiết bị chuyên dụng nào và ở trong hệ thống được đảm bảo an toàn, các máy tính thông thường vẫn thiết lập được kênh liên lạc ngầm, có thể trao đổi, truyền thông tin dữ liệu được với nhau. Kênh ngầm này sử dụng giao thức truyền thông qua tín hiệu âm thanh, là hình thức mà hầu như hiện nay các chính sách mạng, an toàn hệ thống rất ít đề cập tới. Điều đó gây ra các nguy cơ tiềm tàng cho hệ thống như bị lấy mất dữ liệu và bị khai thác lỗ hổng an toàn.
Một số giải pháp phòng chống tạm thời, với loại bệnh ngầm này đã được đề xuất như:
- Đóng tất cả các thiết bị phần cứng vào/ra tín hiệu âm thanh.
- Sử dụng bộ lọc âm thanh, chặn hết các dải tần số cao.
- Sử dụng Audio Intrusion Detection Guard.
15:00 | 03/07/2018
15:00 | 20/05/2020
09:00 | 28/04/2024
Trong một chiến dịch tấn công gần đây, các tác nhân đe dọa đã lạm dụng chức năng tìm kiếm của GitHub và sử dụng các kho lưu trữ được thiết kế đặc biệt để phát tán phần mềm độc hại nhằm đánh cắp các khoản thanh toán bằng tiền điện tử.
11:00 | 07/02/2024
Ngày 02/02, nhà sản xuất phần mềm điều khiển máy tính từ xa AnyDesk (Đức) tiết lộ rằng họ đã phải hứng chịu một cuộc tấn công mạng dẫn đến sự xâm phạm hệ thống sản xuất của công ty.
08:00 | 19/01/2024
Các nhà nghiên cứu an ninh mạng của hãng bảo mật Malwarebytes (Mỹ) đã xác định được phiên bản cập nhật của phần mềm đánh cắp thông tin trên macOS có tên là Atomic Stealer (hoặc AMOS), cho thấy các tác nhân đe dọa phát triển phần mềm độc hại này đang tích cực nâng cao khả năng của nó. Trong bài viết này sẽ xem xét những thay đổi mới nhất của Atomic Stealer và việc phân phối gần đây các quảng cáo độc hại thông qua công cụ tìm kiếm Google.
13:00 | 17/01/2024
Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet, các nhà cung cấp dịch vụ công nghệ thông tin (CNTT) và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới được thực hiện bởi một nhóm tin tặc Türkiye-nexus có tên là (Rùa biển).
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
19:00 | 30/04/2024