張 琪，劉文斌，丁建鋒，廖翔宇，王 哲，宋 滔

（中國電子科技網(wǎng)絡(luò)信息安全有限公司，四川 成都 610041）

0 引 言

當(dāng)前的威脅主要研究的是信息泄漏的威脅，如聲、光、電磁的泄漏，只是單向。最新的研究通過惡意程序?qū)崿F(xiàn)信息泄漏，反過來也可以通過惡意程序?qū)崿F(xiàn)信息接收。電磁兼容的敏感度現(xiàn)象，提出了電磁信息注入模型[1]。

“隱蔽通道”一詞是由Lampson[2-3]創(chuàng)造的。他把它定義為在不允許通信的兩者之間創(chuàng)造一種傳遞信息的能力。隱蔽通道可以用來繞過系統(tǒng)和網(wǎng)絡(luò)策略，通過建立計(jì)算系統(tǒng)在設(shè)計(jì)時(shí)未考慮的通信方式，實(shí)現(xiàn)隱蔽通信。

在雙方之間建立隱蔽通道有許多方法。在某些情況下能夠建立雙向通道，實(shí)現(xiàn)雙方的充分溝通。其他方法有建立單向通道，即只有一方可以傳輸數(shù)據(jù)，另一方可以接收數(shù)據(jù)（廣播方式）。單向的隱蔽通道可用于各種用途，包括：（1）從組織泄露數(shù)據(jù)；（2）從命令與控制服務(wù)器滲透數(shù)據(jù)到目標(biāo)組織的內(nèi)部網(wǎng)絡(luò)中的一臺已受感染的計(jì)算機(jī)。

建立隱蔽通道的一個(gè)眾所周知的方法是利用聲發(fā)射。先前的研究[2]提出一種在雙方之間使用聽不見的聲音（如超聲）建立雙向隱蔽通道的方法。這種方法的主要缺點(diǎn)是聲音（強(qiáng)度）隨著距離而惡化，所以雙方必須保持一個(gè)合理的距離。

另一個(gè)眾所周知的方法，是利用光發(fā)射來建立隱蔽信道。已有的一項(xiàng)研究探索利用設(shè)備的LED燈實(shí)現(xiàn)信息泄漏，即基于設(shè)備的LED信息指示（通過觀察可以獲取信息），把設(shè)備（如調(diào)制解調(diào)器、存儲設(shè)備、光驅(qū)等）分成三類。目前，人們驗(yàn)證了使用智能燈泡建立單向通道從一個(gè)目標(biāo)組織中泄漏數(shù)據(jù)。其他研究使用同樣的原理實(shí)現(xiàn)基于監(jiān)控器LED指示燈[3]泄漏數(shù)據(jù)。

隱蔽通道同樣在物理隔離網(wǎng)絡(luò)中有研究，它們用于與已被入侵的計(jì)算機(jī)進(jìn)行通信。物理隔離網(wǎng)絡(luò)中的計(jì)算機(jī)沒有連接到互聯(lián)網(wǎng)，且與任何連接到互聯(lián)網(wǎng)上的計(jì)算機(jī)不能有連接。主要用于封閉組織，如軍隊(duì)，以防止敏感信息從網(wǎng)絡(luò)發(fā)送到外部。此處隱蔽通道用于在物理隔離網(wǎng)絡(luò)中受感染的計(jì)算機(jī)與外部網(wǎng)絡(luò)間建立橋梁。另一項(xiàng)研究[4]展示了如何從被感染的隔離計(jì)算機(jī)發(fā)送無線信號來建立單向隱蔽信道，利用的發(fā)送端是顯示視頻單元，接收端是帶有無線電接收模塊的手機(jī)。在其他工作中[5]，研究人員建立了一個(gè)單向的隱蔽通道，通過借助特定的內(nèi)存命令，使得電磁泄漏處于移動通信頻段，且可利用多通道內(nèi)存架構(gòu)來加強(qiáng)傳輸。

最新的研究是構(gòu)建光的注入通道，甚至是面向目標(biāo)系統(tǒng)的收發(fā)雙向通道[6]。2013年來，以色列本古里安大學(xué)網(wǎng)絡(luò)安全研究中心Yuval Elovici、Ben Nassi、Adi Shamir等開展了一系列基于隱蔽光通道的物理隔離網(wǎng)絡(luò)進(jìn)行信息注入的探索與驗(yàn)證，原理是攻擊者控制光，使其到達(dá)被攻擊者的一個(gè)平板掃描儀，然后由安裝在該組織中的惡意軟件提取，利用目標(biāo)組織的掃描儀作為一個(gè)進(jìn)入該組織的網(wǎng)關(guān)，以建立一個(gè)惡意軟件和攻擊者之間的隱蔽通道。

本文以公司、科研場所、高校等辦公場所比較常見且對光敏感的掃描儀作為隱蔽光通道的信息交互手段，搭建一個(gè)相對比較容易實(shí)現(xiàn)的物理隔離網(wǎng)絡(luò)，從而分析信息是如何注入和竊取的。

1 掃描儀的工作原理

計(jì)算機(jī)掃描儀被推出后，普及率大大提高。如今，它被組織和個(gè)人普遍應(yīng)用于掃描圖像、手寫體以及文本成為數(shù)字圖像，被視為傳統(tǒng)傳真輸入設(shè)備的替代者。掃描儀基于攝像的原理，取代簡單的文本傳輸，使得整個(gè)圖像可以通過掃描儀發(fā)送。近年來，各種類型的掃描儀大量涌現(xiàn)，包括單張紙掃描儀、集成掃描儀、滾筒掃描儀甚至便攜式掃描儀。然而，最受歡迎的掃描儀是平板掃描儀，有時(shí)稱為反射式掃描儀。它通過在掃描的物體上照射白光來讀取反射光的強(qiáng)度和顏色。直至今天，掃描儀依然備受歡迎，它既可作為多功能打印機(jī)的一部分，又可以作為一個(gè)獨(dú)立的設(shè)備來出售。即使在智能手機(jī)的新時(shí)代，掃描儀仍然存在，因?yàn)樗鼙绕渌O(shè)備提供了更高分辨率的輸出。

掃描儀的工作原理如圖1所示，是由光源從下部穿透并照射玻璃平板。通過使用一系列的透鏡和反射鏡，光線被反彈回一個(gè)光傳感陣列（CCD）。透鏡將圖像分成三種顏色，并測量相關(guān)的電荷。反射的光越亮，電荷越大。最后，ADC（模/數(shù)轉(zhuǎn)換）模塊將電荷轉(zhuǎn)換二進(jìn)制碼，用于表征位于玻璃平板上的文檔。掃描結(jié)果是基于某種配置格式的文件（如PDF、PNG等），通過掃描儀與計(jì)算機(jī)之間的直接物理連接或網(wǎng)絡(luò)連接（有線或無線），發(fā)送到計(jì)算機(jī)進(jìn)行存儲。

掃描儀在給人們提供方便的同時(shí)，也存在被不法分子或者攻擊者利用，從而達(dá)到損壞用戶數(shù)據(jù)，竊取資源的目的。后文重點(diǎn)圍繞在物理隔離網(wǎng)絡(luò)中利用掃描儀光敏感特性建立隱蔽光通道進(jìn)行信息注入的分析和驗(yàn)證。

2 光信息注入威脅的可行性驗(yàn)證

掃描儀進(jìn)行掃描處理過程會受到反射光的影響，照射到面板上的光線會因?yàn)槭芨蓴_而產(chǎn)生電流的變化，從而解析成對被掃描物的不同二進(jìn)制表征，如圖2所示。

圖1 掃描儀工作原理

圖2 光信息注入威脅可行性驗(yàn)證

圖2 （A）是在一個(gè)房間里的掃描儀，掃描儀掃描時(shí)處于開蓋狀態(tài)。

圖2（B1～B3）是掃描儀工作時(shí)，頻繁打開、關(guān)閉靠近掃描儀的手機(jī)電筒的掃描結(jié)果表現(xiàn)。B1～B3分別是上述場景時(shí)無紙張、半頁紙張和全部紙張放置在掃描儀上時(shí)的掃描效果。

圖2（C1～C3）是掃描儀工作時(shí)，頻繁打開、關(guān)閉靠近掃描儀的室內(nèi)燈光的掃描結(jié)果表現(xiàn)。C1～C3分別是上述場景時(shí)無紙張、半頁紙張和全部紙張放置在掃描儀上時(shí)的掃描效果。

可以看出，掃描儀對照明變化敏感，即便是手機(jī)手電筒照射產(chǎn)生的光線變化，也會造成掃描儀不同的色調(diào)輸出。如果可以控制進(jìn)入掃描儀的光線變化，理論上，在掃描軟件或計(jì)算機(jī)中的圖片識別軟件就可以從掃描結(jié)果中提取出控制信息。因此，光信息注入的威脅的實(shí)施是可行的。

3 光信息注入攻擊過程分析

3.1 攻擊者算法分析

在連接有光源的微控制器上預(yù)置算法，可以按照算法約定啟動或者關(guān)閉激光，進(jìn)而激發(fā)掃描儀進(jìn)行掃描過程。攻擊算法對應(yīng)流程如圖3所示，分為四步。

第①步：由攻擊者發(fā)出攻擊指令給攻擊者計(jì)算機(jī)；

第②步：由攻擊者計(jì)算機(jī)將攻擊指令翻譯成攻擊程序，供微控制器執(zhí)行；

第③步：由微控制器將攻擊程序翻譯成對應(yīng)的二進(jìn)制碼，二進(jìn)制碼由一連串的“0”“1”隨機(jī)組成，“0”代表關(guān)斷光源，“1”代表打開光源；

圖3 攻擊算法流程

第④步：微控制器按照二進(jìn)制代碼控制光源的打開和關(guān)閉，這里微控制器不急于發(fā)出下一個(gè)二進(jìn)制代碼，而是等待一段時(shí)間，確保光源“打開”或者“關(guān)閉”，等待的該時(shí)間量通過窗口（比特速率）來表示：

窗口（window）=掃描時(shí)間（ms）/比特?cái)?shù)（1）

比特速率主要受掃描儀快速解析高速切換狀態(tài)的能力、光源的開關(guān)狀態(tài)快速切換能力和掃描速度決定。掃描速度可以由攻擊者在攻擊前通過在攻擊者的實(shí)驗(yàn)室中使用同一類型的掃描儀進(jìn)行掃描實(shí)際測量，或者通過讀取掃描儀的出廠參數(shù)來測量。上述關(guān)于計(jì)算窗口的公式可以通過編輯一條算法來實(shí)現(xiàn)。

3.2 惡意軟件算法分析

惡意軟件安裝在目標(biāo)組織的計(jì)算機(jī)上，惡意軟件算法在窗口公式（1）計(jì)算而來的時(shí)間執(zhí)行掃描過程。惡意軟件算法包括掃描算法、存儲算法、比對算法和逆編譯算法。惡意軟件算法還原攻擊者命令對應(yīng)的流程，如圖4所示。

圖4 惡意軟件算法還原命令流程

第①步：掃描算法發(fā)出掃描指令打開掃描儀進(jìn)行掃描，得到原始的包含攻擊者命令的圖像；

第②步：存儲算法發(fā)出存儲指令，將原始圖像存在目標(biāo)組織計(jì)算機(jī)的存儲空間里；

第③步：比對算法發(fā)出提取指令，識別并提取存儲空間中原始圖像中清晰代表二進(jìn)制命令的圖像；

第④步：逆編譯算法發(fā)出逆編譯指令，將代表二進(jìn)制命令的圖像進(jìn)行還原，得到攻擊者命令。

3.3 光信息注入攻擊過程分析

該信息注入過程涉及四方。

（1）攻擊者的計(jì)算機(jī)。這是一個(gè)由攻擊者操作的、用于控制命令的、光源的C&C服務(wù)器（命令與控制服務(wù)器）。攻擊者對光源的控制可以基于有線或無線通信。

（2）光源。光源可以是連接到微控制器的外部光源。外部光源和微控制器可以安裝在一個(gè)支架上甚至無人機(jī)上，屬于攻擊者。微控制器接收來自C&C服務(wù)器的給定命令，將命令解析為一系列二進(jìn)制代碼。該二進(jìn)制代碼可以控制光源輸出對應(yīng)的光序列，且攻擊者的計(jì)算機(jī)可以與其無線連接。當(dāng)然，另一種選擇是使用一個(gè)內(nèi)部光源，位于攻擊者能夠遠(yuǎn)程控制的目標(biāo)組織內(nèi)部，事先該光源已被攻擊者劫持。

（3）掃描儀。掃描儀位于目標(biāo)組織中，并與目標(biāo)組織的網(wǎng)絡(luò)相連。

（4）目標(biāo)組織內(nèi)受感染的計(jì)算機(jī)。該計(jì)算機(jī)已被惡意軟件感染，同時(shí)連接到目標(biāo)組織的網(wǎng)絡(luò)，可以命令掃描儀掃描，并訪問其掃描對象。

完整的信息注入攻擊過程，如圖5所示。攻擊者控制光源，在掃描儀掃描期間將數(shù)據(jù)調(diào)制到光信號上，發(fā)給一個(gè)部分打開的掃描儀。掃描由惡意軟件啟動，以便在已知時(shí)間接收命令。攻擊者和惡意軟件都知道該命令。惡意軟件從掃描的數(shù)據(jù)中提取命令，并在目標(biāo)組織受感染的計(jì)算機(jī)中執(zhí)行該命令。惡意軟件可以使用掃描儀，通過啟動掃描來調(diào)制0/1比特到光信號上，從而發(fā)送ACK應(yīng)答給攻擊者，或是從目標(biāo)組織中泄漏數(shù)據(jù)。

圖5 信息注入攻擊過程

4 光信息注入威脅的應(yīng)對方法分析

傳統(tǒng)的掃描儀生產(chǎn)廠家不認(rèn)為掃描儀是滲透數(shù)據(jù)的手段，而且還提供掃描儀支持WiFi連接的協(xié)議和遠(yuǎn)程直接掃描的協(xié)議，將進(jìn)一步加劇該類新型威脅蔓延的局面。

為了降低這類威脅造成的傷害，解決方案應(yīng)該聚焦在對新型威脅的自動防護(hù)、檢測，而不是依賴于完成掃描后關(guān)閉掃描儀這種主觀行為。鑒于此，可以采用以下幾種方法來解決：

（1)將掃描儀徹底從網(wǎng)絡(luò)中斷開。斷開掃描儀和網(wǎng)絡(luò)的連接，可以防止建立本文描述的隱蔽通道。這是因?yàn)閽呙鑳x支持USB接口掃描，并且通過該接口將掃描獲得的結(jié)果存到連接在同一個(gè)網(wǎng)絡(luò)的存儲介質(zhì)上。斷開網(wǎng)絡(luò)后，掃描儀將與事先預(yù)置在同一網(wǎng)絡(luò)上的計(jì)算機(jī)惡意軟件徹底斷開，因此，隱蔽通道將無法建立。

（2）如果要使掃描儀進(jìn)行遠(yuǎn)程打印，那么必須進(jìn)行兩個(gè)級別以上的身份驗(yàn)證，以避免非授權(quán)的打印行為或者其他進(jìn)行信息注入的行為開展。

（3）可以使用打印代理的方式防止攻擊者建立這樣一個(gè)隱蔽通道。打印代理是與掃描儀直接連接的一臺計(jì)算機(jī)。掃描儀不直接連入網(wǎng)絡(luò)，掃描請求由打印代理判定，惡意的掃描請求將被拒絕，正常的打印請求將由打印代理通知掃描儀執(zhí)行掃描操作。

（4）從監(jiān)測預(yù)警的角度對光信號環(huán)境進(jìn)行異常監(jiān)測，同時(shí)對掃描圖片進(jìn)行識別分析，提取圖片中隱含的異常信息。

因此，應(yīng)對此類威脅的方法應(yīng)該是監(jiān)測并切斷潛在的隱蔽通道來防止信息注入或被竊取。

5 結(jié) 語

本文展示了只通過一個(gè)簡單的掃描儀可以通過光信號建立起外部攻擊者和安裝在掃描儀上的惡意軟件之間的隱蔽通道。即便是物理障礙（如遠(yuǎn)距離、高樓層）也不能阻止攻擊者建立所描述的隱蔽通道。通過這種隱蔽通道可以實(shí)現(xiàn)控制、操作、注入、獲取攻擊者所需要的有用信息，從而達(dá)到攻擊者的目的，導(dǎo)致目標(biāo)用戶或者被攻擊者在不知情的情況下遭收到數(shù)據(jù)被竊取的后果。通過這種隱蔽的光通道實(shí)施的信息注入或者竊取信息，儼然成為目前的一類新型威脅。

掃描儀原理的這種威脅可以推廣到其他的光信號采集裝置，如監(jiān)控?cái)z像機(jī)、手機(jī)的攝像頭等。因此，要提高對這類新型威脅的認(rèn)識，開發(fā)安全可靠的信號處理技術(shù)與相關(guān)協(xié)議，建立環(huán)境光信號與圖像光信號威脅感知平臺，防止攻擊者在物聯(lián)網(wǎng)時(shí)代建立這樣一個(gè)特別的隱蔽通道。