Havadan izole edilmiş bilgisayarlardan veri sızdırmak için yeni bir yöntem geliştirildi. TrojPix adı verilen bu teknik, ekranın piksel düzenini insan gözüyle algılanamayacak şekilde değiştirerek video kablosunun hafif radyo sinyalleri yaymasını sağlıyor. Yakındaki özel alıcılar bu sinyalleri çözerek verileri elde edebiliyor.
Saldırının Çalışma Prensibi ve Etkisi
TrojPix, hedef bilgisayara kötü amaçlı yazılım bulaştıktan sonra devreye giriyor. Yani sisteme giriş aracı değil, veri sızıntısı için kullanılan bir kanal. Araştırmalarda saniyede 8.1 Mbps veri iletim hızına ulaşan yöntem, 200 metreye kadar menzile sahip. Bu hız, genellikle saniyede birkaç bit veya kilobit hızla çalışan diğer hava boşluğu atlatma yöntemlerinden çok daha yüksek. Örneğin, 100 MB boyutundaki bir dosyayı iki dakikadan kısa sürede aktarabiliyor.
Gizleme Taktikleri ve Donanım Uyumluluğu
Teknik, yönetici ayrıcalığı gerektirmiyor ve mevcut donanımda değişiklik yapılmıyor. Kullanıcı seviyesinde, ekrana görüntü çizebilen herhangi bir kötü amaçlı yazılım yeterli oluyor. İki farklı gizleme yöntemi var: Birincisi, ekran kapalıymış gibi sahte bir görüntüyle iletimi gizlemek; ikincisi ise iletilen sinyali ekranda zaten gösterilen içerik içine gömmek. Testler, yöntemin dokuz farklı monitör markasında ve on beş çeşit video kablosunda başarıyla uygulandığını ortaya koydu.
Teknik Bağlam ve Önceki Çalışmalar
Video kablosunun gizli bir vericiye dönüştürülmesi yeni değil. Bu alan, TEMPEST olarak bilinen ve yıllardır incelenen sızıntı emisyonları çalışmalarına dayanıyor. Yakın zamanda geliştirilen TEMPEST-LoRa saldırısı ise benzer yöntemle uzun menzilli LoRa radyo alıcılarına veri göndermeyi başarmıştı; ancak aktarım hızı ve mesafe TrojPix’in çok gerisinde kaldı.
Yine de bu tür emisyon saldırıları henüz laboratuvar ortamını aşmış değil. Bugüne kadar havadan izole sistemlere yönelik bilinen saldırılar çoğunlukla USB gibi fiziksel araçlar üzerinden gerçekleşti. TrojPix gibi teknikler ise mümkün olanı gösteriyor, sahada tespit edilen gerçek saldırılar arasında henüz yer almıyor.
Hızlı Veri Sızıntısı ve Riskler
İlginç olan, saldırgan sisteme girdikten sonra ekran kapalıyken bile yüksek hızda veri çıkarabilmesi. Bu durum, sadece bir parola değil, tam dosyaların bile kısa sürede sızdırılabileceğini gösteriyor. Ancak gerçek ortamda duvarlar, kablo korumaları ve parazitler sinyalin menzilini kısıtlayabilir.
Korunma Yöntemleri ve Siber Güvenlik Önlemleri
Bu tür saldırılara karşı sinyal kaynağını engellemek mümkün değil; çünkü video kablosu doğal olarak bu sinyalleri yayıyor. En etkili önlem, bakır kablolar yerine fiber optik bağlantılar kullanmak. Fiber optik hatlar elektromanyetik sızıntı oluşturmaz. Ayrıca kritik alanlarda kablo ve fiziksel ortam koruması (örneğin TEMPEST standardı) önem taşıyor. Tabii ki en başta kötü amaçlı yazılım bulaşmasını engellemek, EDR ve SIEM çözümleriyle sürekli izleme yapmak kritik.
Teknik Özet
- TrojPix, kullanıcı seviyesinde çalışan kötü amaçlı yazılım tarafından ekran piksellerini hafif radyo sinyalleri oluşturacak şekilde değiştirme prensibine dayanıyor.
- Aktarım hızı 8.1 Mbps’ye kadar çıkabiliyor, menzil yaklaşık 200 metredir.
- İki gizleme yöntemi mevcut: sahte kapalı ekran ve ekrandaki içerik içine sinyal gömme.
- Çeşitli monitör ve video kablosu modelleri üzerinde test edildi, donanım bağımsız çalışıyor.
- Koruma için fiber optik kablo kullanımı, ortam koruması ve kötü amaçlı yazılım önleme sistemleri öneriliyor.
