Содержимое памяти ПК растекается на 7 метров вокруг из-за излучения — и это проблема для безопасности

Израильские эксперты в области кибербезопасности представили доказательства существования принципиально нового вектора атак на изолированные компьютерные системы. Метод, получивший название RAMBO, позволяет извлекать конфиденциальные данные из сетей, физически отрезанных от интернета, используя электромагнитное излучение оперативной памяти. Эта технология ставит под сомнение саму концепцию «воздушного зазора» (air-gap), считавшуюся золотым стандартом защиты для объектов критической инфраструктуры.

Как работает атака на физически изолированные системы

Уязвимость затрагивает так называемые Air-gapped системы, которые используются на военных объектах, в государственных учреждениях и на атомных электростанциях. Эти сети намеренно лишены сетевых интерфейсов, что делает невозможным удалённое проникновение через интернет. Однако, как выяснили исследователи, злоумышленники могут обойти эту защиту, внедрив вредоносное ПО через физические носители — например, USB-накопители. После заражения вредоносная программа начинает манипулировать компонентами оперативной памяти, генерируя контролируемые электромагнитные импульсы. Данные кодируются в радиочастотные сигналы по принципу «включено/выключено», где «1» и «0» соответствуют определённым состояниям памяти. Для повышения надёжности передачи и снижения уровня ошибок применяется Манчестерский код — метод биимпульсного кодирования двоичных данных.

Скорость передачи и дальность действия

Ключевым ограничением метода является низкая пропускная способность. Скорость передачи данных при атаке RAMBO не превышает 1000 бит в секунду (bps), что эквивалентно 0,125 Кбайт/с. Этого достаточно для кражи небольших объёмов информации: текстовых документов, записей нажатий клавиш и небольших файлов. Например, для извлечения пароля требуется от 0,1 до 1,28 секунды, а для кражи 4096-битного зашифрованного ключа RSA — от 4 до 42 секунд. Дальность передачи сигнала напрямую зависит от выбранной скорости. На максимальной скорости (1000 bps) сигнал стабилен на расстоянии до 3 метров. При снижении скорости до 500 bps и ниже дальность может увеличиваться до 7 метров. При попытке превысить скорость в 5000 bps сигнал становится слишком слабым и содержит много шумов, что делает его непригодным для надёжной передачи.

Методы защиты от электромагнитных утечек

В опубликованной научной работе исследователи предложили несколько мер противодействия атакам типа RAMBO. Основные рекомендации включают усиление физической защиты помещений, подавление электромагнитных излучений, генерируемых оперативной памятью, а также использование внешних радиочастотных помех. Наиболее эффективным решением считается применение экранирующих корпусов Фарадея, которые блокируют электромагнитное излучение. Интересно, что уязвимость была подтверждена и для виртуальных машин. Однако взаимодействие оперативной памяти хост-системы с операционной системой и другими виртуальными средами может приводить к сбоям атаки. Это означает, что в облачных инфраструктурах и на серверах с несколькими виртуальными машинами метод RAMBO работает менее стабильно. Подобные исследования не являются единичными. Ранее специалисты демонстрировали возможность кражи данных через акустические каналы (звук работы вентиляторов и дисководов), тепловое излучение (тепловые камеры для снятия нажатий клавиш) и даже через колебания напряжения в электросети. Атака RAMBO отличается тем, что использует штатное оборудование — оперативную память, которая присутствует в любом компьютере, и не требует дорогостоящих приёмников. Для перехвата сигнала злоумышленнику достаточно программно-определяемого радиоприёмника (SDR) стоимостью в несколько десятков долларов. Развитие подобных методов означает, что для объектов критической инфраструктуры недостаточно просто разорвать физическое подключение к интернету. Требуется комплексная защита, включающая контроль физического доступа к носителям информации, электромагнитное экранирование и мониторинг побочных излучений. В ближайшие годы можно ожидать ужесточения стандартов безопасности для систем, обрабатывающих государственные тайны и данные, критически важные для национальной безопасности.