丁建鋒，劉文斌，丁 磊，張 健，嚴(yán)承濤，宋 滔

（1.中國(guó)電子科技網(wǎng)絡(luò)信息安全有限公司，四川 成都 610041；2.61569部隊(duì)，北京 100072）

0 引 言

計(jì)算機(jī)電磁信息泄漏檢測(cè)可以通過(guò)信號(hào)的紅黑識(shí)別來(lái)判斷，實(shí)現(xiàn)對(duì)泄漏信息的還原，是一種最具有說(shuō)服力的檢測(cè)方法，但往往因?yàn)榫唧w信號(hào)的特殊性使得檢測(cè)難度較大。與電磁兼容對(duì)泄漏信號(hào)強(qiáng)度的關(guān)注點(diǎn)不同，信息泄漏的實(shí)質(zhì)是軟件程序運(yùn)行產(chǎn)生的，因此電磁信息泄漏檢測(cè)需要分析產(chǎn)生泄漏的軟件[1]。

因?yàn)椴煌娘@示字符在時(shí)域、頻域的泄漏特征不同，所以顯示泄漏的一個(gè)常用檢測(cè)方法是使用H字符模板，即基于文字編輯軟件改變顯示內(nèi)容，判斷電磁泄漏是否產(chǎn)生特征變化[2]。1998年，劍橋大學(xué)Markus G. Kuhn和Ross J. Anderson提出了Soft TEMPEST概念[3]，通過(guò)軟件控制顯示屏界面，構(gòu)造了具有調(diào)制特征的電磁信號(hào)，從而實(shí)現(xiàn)了隱藏?cái)?shù)據(jù)的泄漏發(fā)射與傳輸。

文獻(xiàn)[1]結(jié)合Soft TEMPEST思路和國(guó)外在基于惡意程序的電磁信息泄漏的最新研究情況，通過(guò)軟件設(shè)計(jì)，不僅快速驗(yàn)證了傳統(tǒng)的泄漏渠道，也驗(yàn)證了新型泄漏途徑及其威脅，進(jìn)一步歸納并系統(tǒng)性地提出了軟件定義電磁泄漏技術(shù)。該技術(shù)可以簡(jiǎn)單快速呈現(xiàn)出電磁信息泄漏威脅，發(fā)掘潛在的高危泄漏源和泄漏途徑，分析系統(tǒng)電磁泄漏防護(hù)薄弱點(diǎn)，為電磁信息泄漏提供了主動(dòng)的檢測(cè)手段，從而通過(guò)主動(dòng)發(fā)現(xiàn)和主動(dòng)預(yù)防，彌補(bǔ)傳統(tǒng)的被動(dòng)檢測(cè)和防護(hù)手段的不足。

本文在文獻(xiàn)[1]基礎(chǔ)上進(jìn)行了新型威脅的挖掘和驗(yàn)證。首先介紹了國(guó)外基于惡意程序的電磁信息泄漏威脅研究情況，針對(duì)VGA顯示接口構(gòu)建調(diào)制信號(hào)并測(cè)試其諧波頻率、傳導(dǎo)網(wǎng)絡(luò)等特征，推測(cè)其輻射-傳導(dǎo)關(guān)聯(lián)泄漏機(jī)理，然后針對(duì)RS232接口進(jìn)行了新型威脅的擴(kuò)展性驗(yàn)證，基于標(biāo)準(zhǔn)信號(hào)源搭建測(cè)試環(huán)境，并通過(guò)定量分析對(duì)新型威脅的普適性進(jìn)行驗(yàn)證，最后歸納了應(yīng)對(duì)新型威脅的主動(dòng)檢測(cè)方法。

1 新型威脅研究現(xiàn)狀

網(wǎng)絡(luò)安全專(zhuān)家一直在探索通過(guò)聲、光、電磁等媒介聯(lián)通物理隔離網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的方法。近年來(lái)，低成本軟件無(wú)線電（Software Defined Radio）設(shè)備和應(yīng)用的普及，降低了電磁泄漏特征采集和分析的門(mén)檻。因此，從事傳統(tǒng)漏洞掃描和病毒特征檢測(cè)等工作的安全專(zhuān)家進(jìn)入電磁信息泄漏領(lǐng)域范疇并開(kāi)展了研究，先后公開(kāi)了多種新型威脅。

2014年來(lái)，以色列本古里安大學(xué)網(wǎng)絡(luò)安全研究中心Yuval Elovici教授和Mordechai Guri博士開(kāi)展了一系列基于惡意程序的物理隔離計(jì)算機(jī)電磁信息泄漏探索與驗(yàn)證，包括通過(guò)顯卡及顯示器泄漏并用手機(jī)FM接收的AirHopper，通過(guò)內(nèi)存讀寫(xiě)泄漏并用GSM手機(jī)接收的GSMem，通過(guò)USB把數(shù)據(jù)寫(xiě)入移動(dòng)硬盤(pán)產(chǎn)生的輻射泄漏并用小型SDR模塊接收的USBee[4]。

2015年，美國(guó)安全專(zhuān)家Ang Cui博士提出了基于Pantum P2502W激光打印機(jī)控制板構(gòu)建的主動(dòng)泄漏程序Funtenna，利用其自帶的PWM、GPIO、UART等接口，使用OOK、FSK等泄漏調(diào)制方式，并用USRP2平臺(tái)進(jìn)行了數(shù)米距離外的信息還原[5]。與斯諾登曝光的NSA工具對(duì)比，Ang Cui博士認(rèn)為Funtenna更主動(dòng)、更隱蔽，因此是一種更具潛在威脅能力的泄漏方式。

2016年，計(jì)算機(jī)專(zhuān)家William Entriken通過(guò)運(yùn)行計(jì)算機(jī)總線特殊數(shù)據(jù)操作，把構(gòu)成一首簡(jiǎn)單樂(lè)曲的音頻信號(hào)調(diào)制到電磁輻射泄漏頻率上，并使用家用收音機(jī)實(shí)現(xiàn)了接收、解調(diào)與播放[6]。

2017年，以色列工控安全公司CyberX的David Atch等專(zhuān)家驗(yàn)證了把特定代碼運(yùn)行在西門(mén)子S7-1200 PLC（可編程邏輯控制器）上時(shí)，通過(guò)把數(shù)據(jù)寫(xiě)入內(nèi)存可以產(chǎn)生特定頻率泄漏，驗(yàn)證了基于FSK調(diào)制并使用簡(jiǎn)易的軟件無(wú)線電設(shè)備可在目標(biāo)附近進(jìn)行信息竊取[7]。

上述研究表明，惡意程序可以通過(guò)特殊操作，使得目標(biāo)設(shè)備產(chǎn)生電磁泄漏載波信號(hào)，并使用設(shè)備內(nèi)部敏感信息調(diào)制載波信號(hào)。因?yàn)槭抢迷O(shè)備自身的電磁防護(hù)設(shè)計(jì)缺陷，所以不需要植入硬件模塊，實(shí)現(xiàn)成本低、隱蔽性高，對(duì)攻擊者來(lái)說(shuō)的使用風(fēng)險(xiǎn)更小。隨著越來(lái)越多的這類(lèi)威脅被驗(yàn)證和公開(kāi)，物理隔離網(wǎng)絡(luò)電子設(shè)備更多新的該類(lèi)漏洞被發(fā)現(xiàn)，因此需要驗(yàn)證相應(yīng)原理，并推出相應(yīng)的檢測(cè)和防護(hù)方法。

2 基于VGA的新型威脅分析

VGA（Video Graphics Array，視頻圖形陣列）是使用模擬信號(hào)的計(jì)算機(jī)顯示標(biāo)準(zhǔn)。本文使用文獻(xiàn)[1，3]的方法構(gòu)建VGA特征泄漏信號(hào)，搭建的驗(yàn)證環(huán)境如圖1所示。

圖1 基于VGA/RS232的新型威脅驗(yàn)證

圖1中，計(jì)算機(jī)主機(jī)A通過(guò)VGA線纜B連接到計(jì)算機(jī)顯示器C。通過(guò)程序控制分辨率、黑白像素變化，在計(jì)算機(jī)A周邊檢測(cè)不同狀態(tài)下的電磁泄漏信號(hào)，結(jié)果如圖2所示。

圖2 基于VGA的設(shè)備電磁泄漏特征

圖2 中，上下兩個(gè)子圖的橫軸表示頻率（單位Hz），子圖（上）的縱軸表示瞬時(shí)信號(hào)相對(duì)強(qiáng)度（單位：dB），子圖（下）的縱軸表示時(shí)間（單位：秒）。

對(duì)比正常泄漏-特征泄漏的信號(hào)變化，發(fā)現(xiàn)基于VGA的新型威脅具有如下特征。

（1）行為特征。正常泄漏信號(hào)具有明顯的行頻信號(hào)諧波特征。當(dāng)改變屏幕分辨率時(shí)，行頻諧波間隔特征變化明顯。

（2）信息特征。泄漏信號(hào)中，除了行頻信號(hào)特征外，還帶有明顯的信息泄漏特征，如圖2中48.8 MHz左右的信號(hào)。相比行頻信號(hào)，攜帶信息的信號(hào)寬度要寬，強(qiáng)度也不同。計(jì)算機(jī)程序使用FSK和幅度調(diào)制把內(nèi)部敏感信息傳輸?shù)礁哳l載波上，具有一定的帶寬，通過(guò)解調(diào)可以實(shí)現(xiàn)信息還原。

（3）幅度特征。更換VGA線纜B類(lèi)型，傳導(dǎo)泄漏的強(qiáng)度、傳輸距離等結(jié)果會(huì)有明顯變化。

（4）泄漏源與傳輸特征。測(cè)試發(fā)現(xiàn)，顯示器屏幕輻射、VGA線纜、電源線纜及其他直接或間接相連的線纜均能檢測(cè)到泄漏。顯示器屏幕輻射具有不同特征，頻率范圍較低，關(guān)閉屏幕電源后該信號(hào)消失。而VGA線纜、電源線纜沿線能檢測(cè)到更高頻段的相同頻率的特征信號(hào)。

（5）穿透能力。在電源線H、墻插L等處均能檢測(cè)到泄漏信號(hào)并還原泄漏信息，說(shuō)明泄漏信號(hào)能夠穿透普通的隔離插座G。

因?yàn)楦鼡QVGA線纜對(duì)電源線傳導(dǎo)泄漏的影響較大，且泄漏頻率相同，可見(jiàn)兩者具有非常重要的關(guān)聯(lián)關(guān)系。初步分析是VGA線纜輻射的信號(hào)變化，使電源功率輸出也產(chǎn)生了相應(yīng)變化，并進(jìn)一步傳導(dǎo)到電源線，然后耦合、泄放到防護(hù)薄弱的地線網(wǎng)絡(luò)。

3 基于RS232的新型威脅驗(yàn)證

為進(jìn)一步驗(yàn)證基于數(shù)據(jù)信號(hào)線纜輻射的電源線傳導(dǎo)威脅猜測(cè)，有必要進(jìn)一步擴(kuò)展信號(hào)類(lèi)型進(jìn)行驗(yàn)證。這里選擇了普遍使用的RS232接口進(jìn)行驗(yàn)證。它的測(cè)試方法與VGA顯示線纜相同，如圖1所示，使用RS232串口線把計(jì)算機(jī)主機(jī)A與電子設(shè)備E相連。串口連續(xù)發(fā)送一段時(shí)間的數(shù)據(jù)0x55后，再暫停發(fā)送一段時(shí)間。先后設(shè)置不同的波特率進(jìn)行發(fā)送，即115 200、38 400、19 200和9 600 Baud。圖1中，串口線纜D周邊測(cè)試電磁泄漏特征，結(jié)果如圖3所示。

圖3 中，上下兩個(gè)子圖的橫軸表示頻率（單位Hz），子圖（上）的縱軸表示瞬時(shí)信號(hào)相對(duì)強(qiáng)度（單位：dB），子圖（下）的縱軸表示時(shí)間（單位：秒）。

可以看出，泄漏呈現(xiàn)出不同間隔的諧波特征。根據(jù)泰勒公式，RS232信號(hào)在頻域上可看作是基頻的不同倍頻和幅度的正弦波信號(hào)的疊加。波特率為115 200 Baud時(shí)，諧波間隔恰好是115 200 Hz的一半。這是因?yàn)榘l(fā)送的數(shù)據(jù)0x55具有0-1變化特征，相當(dāng)于進(jìn)行了時(shí)鐘的1/2分頻。

改變測(cè)試參數(shù)并經(jīng)分析發(fā)現(xiàn)，基于RS232的新型威脅具有如下特征。

（1）諧波頻率間隔特征。波特率從115 200 Baud變?yōu)?8 400 Baud（降為原來(lái)的1/3）時(shí)，泄漏信號(hào)的諧波頻率間隔也降為原來(lái)的1/3。波特率更小時(shí)，泄漏特征依然存在，但因?yàn)橹C波間隔太小，頻率混疊較為嚴(yán)重，因此特征會(huì)變模糊。

（2）諧波頻率范圍特征。波特率越大，傳導(dǎo)泄漏的頻率范圍越寬。當(dāng)波特率為115 200 Baud時(shí)，圖1中電源線H周邊在100 MHz廣播頻段都能夠檢測(cè)到泄漏諧波信號(hào)。

（3）傳導(dǎo)空間分布特征。圖1中，與計(jì)算機(jī)主機(jī)A直接或間接相連的所有設(shè)備、線纜周邊都能檢測(cè)到傳導(dǎo)泄漏。在150 kHz～30 MHz范圍檢測(cè)，發(fā)現(xiàn)通過(guò)5～14 MHz頻段在較遠(yuǎn)的距離也能夠還原出泄漏信息。經(jīng)驗(yàn)證，信號(hào)通過(guò)電源線纜遠(yuǎn)距離傳導(dǎo)的同時(shí)，在傳導(dǎo)路徑上向外產(chǎn)生的輻射容易被利用。

（4）幅度特征。圖1中，計(jì)算機(jī)主機(jī)A發(fā)出的串行信號(hào)經(jīng)過(guò)RS232線纜D并送到對(duì)接設(shè)備E，信號(hào)經(jīng)過(guò)的線路可以等效為天線。更換RS232線纜D類(lèi)型或是更換對(duì)接設(shè)備E類(lèi)型后，電磁泄漏的幅度特征變化較大，實(shí)質(zhì)上是改變了等效天線的阻抗所產(chǎn)生的。

從上述分析可以看出，計(jì)算機(jī)作為執(zhí)行泄漏程序并產(chǎn)生物理信號(hào)的主體，在其連接有數(shù)據(jù)線纜并進(jìn)行數(shù)據(jù)傳輸時(shí)，不僅在設(shè)備周邊存在輻射信號(hào)，在遠(yuǎn)端電源線纜周邊也能還原出泄漏信息，威脅較大。

4 新型威脅的普適性驗(yàn)證

計(jì)算機(jī)因?yàn)橥饨泳€纜所產(chǎn)生的傳導(dǎo)威脅已經(jīng)通過(guò)VGA和RS232兩種特征信號(hào)構(gòu)建所驗(yàn)證。該類(lèi)威脅對(duì)于其他電子設(shè)備是否存在普適性，需要搭建通用模型來(lái)驗(yàn)證。為此，根據(jù)分析的泄漏機(jī)理，構(gòu)建了適用于普適性的電子設(shè)備電磁信息泄漏威脅驗(yàn)證平臺(tái)，如圖4所示，其中主要設(shè)備型號(hào)如表1所示。

圖4 傳導(dǎo)威脅驗(yàn)證部署

表1 傳導(dǎo)威脅驗(yàn)證設(shè)備配置

圖4中，信號(hào)源A使用5 V正弦波輸出，并連接非屏蔽單芯線B。改變信號(hào)線B的線長(zhǎng)和信號(hào)頻率參數(shù)，在連接信號(hào)源且距離信號(hào)源約10 m的供電線纜C上通過(guò)電流耦合探頭連接頻譜儀G測(cè)試泄漏信號(hào)的強(qiáng)度，結(jié)果如圖5所示。

圖5 傳導(dǎo)信號(hào)強(qiáng)度與頻率、線長(zhǎng)關(guān)系

通過(guò)圖5可以得出如下結(jié)論：

（1）信號(hào)源+信號(hào)線纜作為泄漏源，可以產(chǎn)生電源線傳導(dǎo)泄漏威脅，驗(yàn)證了輻射-傳導(dǎo)關(guān)聯(lián)泄漏的普適性。

（2）信號(hào)線纜的線長(zhǎng)對(duì)電源線泄漏信號(hào)的強(qiáng)度影響較大。當(dāng)信號(hào)頻率較低時(shí)（如5 MHz），需要較長(zhǎng)的信號(hào)線纜（如7 m）才能達(dá)到較高的傳導(dǎo)信號(hào)強(qiáng)度（-20 dBm）；而信號(hào)頻率較高時(shí)（如15 MHz和25 MHz），1～3 m的信號(hào)線長(zhǎng)就能夠達(dá)到較高的傳導(dǎo)信號(hào)強(qiáng)度（-20 dBm）。

（3）傳導(dǎo)信號(hào)強(qiáng)度在信號(hào)線纜約為1/4波長(zhǎng)時(shí)達(dá)到最大值。3種頻率的1/4波長(zhǎng)，如表2所示。

表2 信號(hào)頻率與1/4波長(zhǎng)

這意味著在構(gòu)造泄漏信號(hào)時(shí)，可以根據(jù)線長(zhǎng)來(lái)選擇最佳泄漏頻率。如果目標(biāo)泄漏頻率已經(jīng)確定，則可以通過(guò)改變泄漏信號(hào)線纜長(zhǎng)度，達(dá)到泄漏信號(hào)強(qiáng)度的最優(yōu)化。如果是方波泄漏信號(hào)，因?yàn)槠渲C波比較豐富，所以可以通過(guò)搜索各個(gè)諧波頻點(diǎn)來(lái)獲取最強(qiáng)的泄漏諧波信號(hào)。

5 結(jié) 語(yǔ)

本文揭示了電子設(shè)備的一種新的電磁脆弱性，即數(shù)字信號(hào)輻射產(chǎn)生的電源線傳導(dǎo)泄漏。這類(lèi)泄漏能夠耦合到地線網(wǎng)絡(luò)和數(shù)據(jù)傳輸網(wǎng)絡(luò)，造成信息泄漏，且惡意程序可以利用這種渠道增強(qiáng)泄漏頻率和幅度特征，簡(jiǎn)化跨網(wǎng)攻擊難度。

針對(duì)電子設(shè)備電磁信息泄漏及傳播的主動(dòng)和深入探索，可以挖掘出傳統(tǒng)的電磁兼容領(lǐng)域和信息安全領(lǐng)域沒(méi)有發(fā)現(xiàn)的電子設(shè)備信息安全新漏洞和新威脅。通過(guò)軟件定義電磁泄漏的方法，可以快速挖掘新的泄漏渠道，便捷地再現(xiàn)新的信息泄漏威脅，然后通過(guò)舉一反三進(jìn)行驗(yàn)證，得到更具通用意義的普適性結(jié)論，把威脅的驗(yàn)證轉(zhuǎn)變?yōu)殡姶判畔⑿孤┑闹鲃?dòng)檢測(cè)方法。這種方法與傳統(tǒng)的電磁信息泄漏的被動(dòng)檢測(cè)方法有較大差別，可以互為補(bǔ)充，互相促進(jìn)。

后續(xù)將繼續(xù)進(jìn)行新型威脅的分析和挖掘，豐富電磁信息泄漏的主動(dòng)檢測(cè)技術(shù)體系，結(jié)合并擴(kuò)展傳統(tǒng)的被動(dòng)檢測(cè)技術(shù)，構(gòu)建智能化的特征分析手段，以推動(dòng)電子設(shè)備電磁“漏洞”掃描，通過(guò)檢測(cè)能力的提升促進(jìn)網(wǎng)絡(luò)空間的安全。

參考文獻(xiàn)：

[1] 劉文斌,丁建鋒,寇云峰等.軟件定義電磁泄漏技術(shù)與應(yīng)用分析[J].通信技術(shù),2017,50(09):2094-2099.LIU Wen-bin,DING Jian-feng,KOU Yun-feng,et al.Software-defined Electromagnetic Leakage Technology and Its Application[J].Communications Tech nology,2017,50(09):2094-2099.

[2] 莊躍明,趙德祥.視頻信號(hào)的相似性分析[J].電子質(zhì)量,2009(06):6-8.ZHUANG Yue-ming,ZHAO De-xiang.Analysis of Video Signal Similarity[J].Electronics Quality,2009(06):6-8.

[3] Markus G K,Ross J A.Soft Tempest:Hidden Data Transmission Using Electromagnetic Emanations[C].Information Hiding,Springer-Verlag,1998:124-142.

[4] Mordechai G,Matan M,Yuval E.USBee:Air Gap Convert-Channel via Electromagnetic Emission from USB[C].2016 14th Annual Conference on Privacy,Security and Trust(PST),2016:264-268.

[5] Ang Cui.Funtenna[EB/OL].(2015-07-09)[2017-12-15].https://www.funtenna.org/CuiBH2015.pdf.

[6] William Entriken.System Bus Radio[EB/OL].(2016-03-10)[2017-12-15].https://github.com/fulldecent/systembus-radio.

[7] David A,George L.Exfiltrating Reconnaissance Data from Air-Gapped ICS/SCADA Netowrks[EB/OL].(2017-12-04)[2017-12-15].http://www.blackhat.com/eu-17/briefings.html.