Air-Gap Covert Channel

Selam, bu yazı; sadece açık kaynak verileri birleştirip yorumlamak amacıyla yazılmıştır.

Fiziksel izolasyonun görünmez kırılganlığı üzerine

01, Konu nedir, ne değildir

"Bu sistem internete bağlı değil" cümlesi, on yıllar boyunca binlerce güvenlik mimarisinin tartışmayı kapatan son argümanı oldu. Özellikle kritik altyapılarda, nükleer tesisler, savunma ağları, SWIFT benzeri finansal sistemler, bir sistemi fiziksel olarak izole etmek en güçlü güvenlik önlemi sayıldı. Ve bir anlamda hala sayılıyor. Ama yanlış anlaşılıyor. Air-gap'in yaptığı şey şu: ağ trafiğini keser. Ethernet kablosunu çekersin, Wi-Fi'ı devre dışı bırakırsın, Bluetooth'u kapatırsın. Bu kadar. Ağ katmanında hiçbir şey geçemez, doğru. Fakat güvenlik mühendisliğinde "ağ" katmanı tek katman değil. Ve bu noktada çoğu güvenlik ekibinin modeli gerçeklikten ayrılıyor.

Çünkü fizik yasaları, güvenlik politikası tanımıyor. Bir bilgisayar çalışırken ısı üretiyor. CPU core'larında milyarlarca transistör saniyede milyarlarca kez açılıp kapanıyor ve bu geçişler elektromanyetik radyasyon yayıyor. Fanlar dönüyor, bu dönüş titreşim ve ses üretiyor. Güç kaynağı anlık yük değişimleri yapıyor, bu değişimler elektrik hattına yansıyor. Bunların hiçbiri ağ paketi değil. Ama hepsi bilgi taşıyabiliyor, eğer birisi onu okumayı biliyorsa.

İşte "covert channel" (gizli kanal) tam olarak bu: kasıtlı olarak tasarlanmış ya da kötüye kullanılan, veriyi gizli biçimde taşıyan bir iletişim mekanizması. Air-gap bağlamında konuşursak, ağ bağlantısı kesilmiş bir sistemden veriyi dışarı sızdırmak için kullanılan fiziksel yan kanal.

Önemli bir ayrım: Covert channel araştırması genellikle iki soruyu aynı anda ele alıyor. Birincisi, saldırı: hedef sisteme nasıl zararlı yazılım sokulur? İkincisi, sızıntı: zararlı yazılım içeride ne yapıp veriyi dışarı nasıl çıkarır? Bu notlar ağırlıklı olarak ikinci soruya, yani fiziksel sızıntı kanallarına odaklanıyor.

Bu alanda bilinen ilk sistematik çalışma 1998'e kadar gidiyor. Cambridge Üniversitesi'nden Ross Anderson ve Markus Kuhn, monitörlerden ve bilgisayar bileşenlerinden yayılan elektromanyetik emisyonların gizli veri iletmek için kullanılabileceğini gösterdiler. SOFT TEMPEST adını verdikleri bu çalışma aslında savunma standartlarına (TEMPEST) dayanıyordu, devletler yıllardır bu emisyonların gizli dinleme riski oluşturduğunu biliyordu. Fakat Anderson ve Kuhn bunu bir adım öteye taşıdı ve emisyonun kasıtlı olarak kontrol edilebileceğini, yani bir saldırı vektörüne dönüşebileceğini kanıtladılar.

O tarihten bu yana alan dramatik biçimde büyüdü. Özellikle Ben-Gurion Üniversitesi'nden Mordechai Guri ve ekibi, 2013'ten 2024'e uzanan on yıl boyunca onlarca farklı covert channel tekniği yayımladı. Her biri farklı bir fiziksel kanal kullanıyor, her biri farklı kısıtlara sahip. Ve hepsini birden değerlendirdiğinde ortaya çıkan tablo şu: izole bir sistem sadece ağ üzerinden izole. Fiziksel olarak değil.

02, Saldırı nasıl çalışır

Zararlı yazılım içeride ne yapıyor?

Bir air-gap covert channel saldırısının gerçekleşmesi için iki ayrı aşama gerekiyor ve bu ikisi genellikle karıştırılıyor. Birinci aşama enfeksiyon: zararlı yazılımın izole sisteme sokulması. Bu USB bellek, tedarik zinciri müdahalesi ya da sosyal mühendislik yoluyla gerçekleşiyor. Stuxnet'in Natanz'a girişi bu kategoriye giriyor, fiziksel erişim ya da içeriden biri olmadan bu adım atlanamıyor.

İkinci aşama ise sızıntı. Zararlı yazılım içeride, değerli veriye erişiyor, şifreleme anahtarları, kimlik bilgileri, sistem konfigürasyonu, keylog verileri. Bunu dışarı çıkarması gerekiyor. Ağ yok, Bluetooth yok, Wi-Fi yok. Ama fizik var. Ve zararlı yazılım, donanımın normal çalışmasından kaynaklanan fiziksel yan etkileri manipüle ederek bu veriyi kodluyor ve yayıyor. Dışarıda bir alıcı, çoğu zaman bir akıllı telefon, bazen özel donanım, bu sinyali yakalıyor ve decode ediyor.

Buradaki temel kavram modülasyon. Veriyi bir sinyale kodlamak için kullanılan yöntem. Binary veri, bitler, fiziksel bir parametrenin kasıtlı değişimiyle temsil ediliyor. Fan daha hızlı dönüyor mu? Bu bit 1. Daha yavaş mı? Bit 0. CPU daha çok ısınıyor mu? Bit 1. Soğuyor mu? Bit 0. Bant genişliği, yani saniyede kaç bit iletilebileceği, kanalın fiziksel özelliklerine bağlı. Termal kanal için bu saniyede birkaç bit. Elektromanyetik için binlerce bit. Yavaş da olsa, 4096 bitlik bir RSA anahtarı saniyeler içinde dışarı çıkabiliyor.

03, Elektromanyetik kanallar

Her elektronik bileşen bir verici olabilir

Elektromanyetik kanallar, covert channel araştırmasının en aktif ve en geniş alanı. Bunun basit bir nedeni var: tüm elektronik bileşenler elektromanyetik radyasyon yayıyor. Bu istemeden olan bir şey, elektrik mühendisliğinin kaçınamadığı bir gerçek. Sorun şu ki "istemeden" olan bu emisyon, kasıtlı olarak kontrol edilebiliyor. Bu alandaki en erken ve en bilinen çalışmalardan biri 2014'te Guri ve ekibinden geliyor: AirHopper.

Grafik işlemci birimleri (GPU), video sinyali üretirken FM radyo frekans bandında, 87.5 ila 108 MHz arası, elektromanyetik emisyon üretiyor. Guri'nin ekibi, zararlı yazılımın GPU'yu kasıtlı olarak bu bantta belirli frekanslarda salınım yapacak şekilde yönlendirebildiğini gösterdi. Alıcı cihaz? Standart bir FM radyosu veya FM alıcısına sahip herhangi bir akıllı telefon. Mesafe 7 metreye kadar, hız 480 bps. Bunu kelime veya bir şifre düşün, saniyelerde dışarı çıkar.

Aynı yıl yayımlanan GSMem farklı bir yol izledi. Bu sefer emisyon kaynağı RAM bellek. DDR bellekler veri transferi yaparken memory bus üzerinde yüksek frekanslı sinyal geçişleri oluyor. Bu geçişler, GSM baz istasyonlarının kullandığı frekans bandında, 900 MHz civarı, emisyon üretiyor. Zararlı yazılım, belleğe yazma desenini manipüle ederek bu emisyonu kontrol altına alıyor. Alıcı? Herhangi bir temel telefon, GSM bandını dinleyebilecek herhangi bir cihaz.

USBee (2016): Guri ekibinin bu çalışması özellikle sinsi. Modifiye edilmemiş, herhangi bir USB cihazı, flash bellek, fare, klavye, data bus üzerinden EM emisyon üretiyor. Zararlı yazılım, bu cihaza sık veri yazarak emisyonu kontrol ediyor. Donanımda hiçbir değişiklik yok. Yazılım yeterli. Hız 20–80 byte/sn, mesafe yaklaşık 3 metre.

Fakat bu alandaki en çarpıcı çalışma 2024'te geldi: RAMBO. RAM-Based Electromagnetic Covert Channel. DDR4 ve DDR5 bellek modülleri, veri transfer ederken PCB üzerindeki bakır izler üzerinden EM dalgası yayıyor. RAMBO, malware'in belleğe erişim desenini OOK (On-Off Keying) modülasyonu ile manipüle ettiğini ve bunun 2.4 GHz bandında, Wi-Fi ve Bluetooth'un kullandığı band, alınabilir sinyal ürettiğini kanıtladı. Alıcı: yaklaşık 25 dolarlık bir RTL-SDR dongle. Veya sinyal alıcısı olarak yapılandırılmış herhangi bir akıllı telefon. Hız 1000 bps civarı, mesafe 7 metreye kadar. 4096 bitlik bir RSA anahtarı yaklaşık 4 saniyede dışarı çıkabiliyor.

RAMBO'yu özellikle dikkat çekici yapan şey, tamamen yazılım tabanlı olması ve standart kullanıcı yetkisiyle çalışması. Kernel erişimi yok, donanım değişikliği yok, özel kurulum yok. Kullanıcı alanında çalışan bir süreç bu işi yapabiliyor. Sanal makine üzerinde bile çalıştığı gösterildi.

04, Akustik kanallar

Ses kartı olmayan bir bilgisayardan ses çıkarmak

Akustik kanallar ilk duyulduğunda tuhaf geliyor: ses kartı yok, hoparlör yok, bu bilgisayardan nasıl ses üretilir? Ama gerçekte bir bilgisayarda ses üreten pek çok mekanik bileşen var, fan, hard disk, güç kaynağı, ve bunlar üzerinde yazılım kontrolü mümkün.

Fansmitter (2016), bu fikrin en net örneği. CPU fanının devir sayısı işletim sistemi düzeyinde kontrol edilebilir. Bu kontrol normalde ısı yönetimi için kullanılıyor. Fansmitter ise zararlı yazılımın bu kontrolü ele geçirdiğini ve RPM'i kasıtlı olarak modüle ettiğini gösterdi: 1000 RPM bit 0'ı, 1600 RPM bit 1'i temsil ediyor. Yakındaki bir mikrofon bu frekans değişimlerini kaydedip Fourier analizi ile decode ediyor. Hız 15–20 bps, mesafe 8 metreye kadar. Yavaş, evet. Ama 256 bitlik bir AES anahtarı yaklaşık 13 saniyede dışarı çıkıyor. Bu kanal için ses kartı yok. Hoparlör yok. Sadece fan ve bir mikrofon.

Aynı yıl Guri ekibi DiskFiltration ile benzer bir fikri HDD'ye uyguladı. Hard disk okuma kafasının hareketi, aktuatör kolu üzerinden titreşim ve ses üretiyor. Zararlı yazılım, okuma-yazma komutları vererek kafanın hareket desenini ve dolayısıyla ürettiği sesi kontrol edebiliyor. Hız 180 bps, mesafe yaklaşık 2 metre. Bu araştırma SSD ağırlıklı modern sistemlerde daha az uygulanabilir, fakat OT ortamlarında, endüstriyel kontrol sistemlerinde, HDD hala yaygın.

Pixhell (2024): LCD ekranlar piksel değiştirirken ses yayıyor. Bu fiziksel bir gerçek, kondansatörler şarj olurken ya da bobinler değişken akım çekerken, bu elektriksel değişimler mekanik titreşime ve dolayısıyla sese dönüşüyor. Pixhell, özel piksel desenleriyle bu sesi kasıtlı olarak üretip modüle ediyor. Ultrasonik bantta çalışıyor, insan kulağı duymuyor. Ama bir mikrofon duyuyor. Ekranı kapalı olan bir bilgisayardan bile iş görebilir, backlight kapalı olsa da güç devreleri çalışıyor.

Akustik kanalların ortak zayıflığı bant genişliği. Fiziksel ortamın doğası gereği hız sınırlı. Öte yandan covert channel saldırılarında veri hacmi genellikle küçük: bir şifreleme anahtarı, bir parola, bir komuta mesajı. Bu sebeple düşük bant genişliği pratikte büyük bir engel değil.

05, Termal kanallar

Bilgisayarlar arasında ısı ile haberleşmek

BitWhisper (2015), bir tür bilimkurgu gibi geliyor ama Ben-Gurion'da laboratuvar ortamında çalıştığı gösterildi. İki bilgisayar yan yana duruyor, diyelim ki biri izole ağda, diğeri internet bağlantılı. Her ikisine de zararlı yazılım bulaşmış. Görev: aralarında iletişim kurmak. CPU iş yükü sıcaklığı doğrudan etkiliyor. İş yükü artırılırsa bilgisayar ısınıyor, azaltılırsa soğuyor. Yanındaki bilgisayar ise kendi dahili termal sensörleriyle ortam sıcaklığını ölçüyor. BitWhisper, bir bilgisayardaki zararlı yazılımın CPU yükünü kasıtlı olarak değiştirerek ısı desenleri ürettiğini, diğer bilgisayardaki zararlı yazılımın ise bu ısı değişimlerini termal sensörden okuyarak decode ettiğini kanıtladı.

Bant genişliği son derece düşük: saatte 1–8 bit. Bu bir veri sızdırma kanalı olarak pek kullanışlı değil. Ama komuta-kontrol mesajları için düşün, "başla", "dur", belirli bir veri parçasını sızdır. Bunlar için yeterli. Kanalın gerektirdiği fiziksel yakınlık ise 40 santimetre civarı. Bu kısıt, BitWhisper'ı en sınırlı senaryolardan biri yapıyor. Ama konsept olarak önemli: ısı bile bir iletişim kanalı olabilir.

06, Güç hattı ve optik kanallar

Elektrik prizi ve blink eden LED'ler

Güç hattı kanalları biraz farklı bir kategoride çünkü mesafe kısıtı yok, aynı elektrik hattına bağlı her cihaz teorik olarak alıcı olabilir. PowerBridge (2024) ve daha önce yayımlanan PowerHammer çalışmaları şunu gösterdi: bir sistemin anlık güç tüketimi, yazılım aracılığıyla modüle edilebilir. CPU veya GPU'ya anlık yük bindirilerek güç çekimi değiştiriliyor, bu değişim elektrik hattı üzerinden yayılıyor. Akıllı priz, akıllı sayaç veya bir güç ölçüm cihazı bu değişimi kaydedip decode edebiliyor.

Bu kanalın pratik önemi OT ortamlarında artıyor. Endüstriyel kontrol sistemlerinde akıllı enerji izleme cihazları son yıllarda yaygınlaştı. Bu cihazlar normalde verimlilik için kullanılıyor. Ama aynı zamanda bir güç hattı covert channel için ideal alıcıya dönüşebilir. Optik kanallar farklı bir perspektif sunuyor. LED-it-GO (2017) çalışması, ağ switch'lerinin, router'ların ve diğer cihazların üzerindeki aktivite LED'lerini ele aldı. Bu LED'ler normal koşullarda ağ trafiğini yansıtıyor. Zararlı yazılım, ağ trafiğini ya da LED'leri doğrudan kontrol ederek hızlı yanıp-sönme desenleri üretebilir. 30 metre öteden bir kamera veya fotodiod bu deseni kaydedip decode edebiliyor. Hız yaklaşık 1000 bps, bu, optik kanalı bant genişliği açısından en iyi seçeneklerden biri yapıyor.

aIR-Jumper (2017): Güvenlik kameraları covert channel için hem verici hem alıcı olarak kullanılabilir. Kameranın kızılötesi LED'leri (gece görüş için) veri göndermek için, kameranın kendisi ise kızılötesi sinyali almak için kullanılabiliyor. Bu çalışma özellikle ilginç çünkü güvenlik altyapısının kendisini bir saldırı vektörüne dönüştürüyor.

08, Karşılaştırma

Belgelenmiş teknikler özet tablo

Aşağıdaki tablo, bugüne kadar akademik olarak kanıtlanmış başlıca teknikleri karşılaştırıyor. Hız ve mesafe değerleri laboratuvar koşullarında ölçülmüş; gerçek ortamda gürültü ve engeller bu değerleri düşürebilir.

09, Tespit ve savunma

Neden bir tespit aracı yok?

Akademik literatür son derece zengin. Onlarca farklı teknik, farklı kanallar, farklı bant genişlikleri. Ama bir güvenlik ekibinin bu tehdidi gerçek zamanlı olarak tespit etmesine yarayan, kullanılabilir bir araç neredeyse yok. Bunun birkaç nedeni var. Birincisi, problem gerçekten zor. Normal bir bilgisayar zaten EM emisyon üretiyor, zaten ses yapıyor, zaten ısınıyor. Bu "gürültü" ile kasıtlı modüle edilmiş sinyal arasındaki fark, milisaniye ve mikroVolt seviyesinde. İkincisi, kanal sayısı fazla. Her fiziksel parametreyi aynı anda izlemek ciddi bir donanım ve yazılım altyapısı gerektiriyor. Üçüncüsü, baseline oluşturmak zor, her ortamın normal EM, akustik ve termal profili farklı.

Buna karşın teorik olarak yapılabilir olanın çerçevesi şu: pasif, non-intrusive bir sensör ağı her fiziksel kanalı dinliyor. SDR alıcılar EM bandını, MEMS mikrofon dizileri akustik bandı, termopile sensörler termal değişimleri, güç analiz modülleri elektrik hattını izliyor. Bu veriler merkezi bir pipeline'a akıyor. FFT ve wavelet analizi ile frekans domain'de anomaliler tespit ediliyor. Unsupervised ML, özellikle Autoencoder mimarileri, normal davranış modelini öğrenip sapmayı işaretliyor. Bilinen saldırı imzaları (Fansmitter, RAMBO, BitWhisper pattern'leri) için imza eşleştirme de ekleniyor. Bu araç için proof-of-concept başlangıç maliyeti düşünüldüğünden çok daha az. Bir RTL-SDR dongle yaklaşık 25 dolar. MEMS mikrofon modülleri birkaç dolar. Raspberry Pi veya benzeri bir single-board computer üzerine kurulu bir sensör node gerçekçi bir MVP oluşturabiliyor. Zor olan, bu veriden anlamlı anomali çıkarmak.

Karşı önlemlerde gerçekçi beklenti: Faraday kafesi EM kanallarını büyük ölçüde bloke ediyor fakat akustik ve termal kanalları kapsamıyor ve her ortamda uygulanabilir değil. Akustik gürültü enjeksiyonu SNR'ı düşürüyor ama yok etmiyor. Savunmanın asıl gücü önleme değil, tespit. Saldırıyı imkansız kılmak yerine, gerçekleştiğinde fark etmek.

10, Sonuç

Air-gap bir yanılsama değil, ama tek başına yetmiyor

Air-gap hala anlamlı bir güvenlik katmanı. Ağ saldırı yüzeyini tamamen ortadan kaldırıyor ve bu küçük bir şey değil. Ama "bu sistemde hava boşluğu var, dolayısıyla güvende" cümlesi artık tek başına geçerli bir argüman değil. Belgelenen teknikler, gerçek saldırılarda kullanıldığını kanıtlamamış. En azından kamuya açık kaynaklarda. Fakat NSA'nın ANT kataloğuna sızdırılan belgeler, COTTONMOUTH adlı USB implant, donanım düzeyinde RF vericilerin devlet aktörlerince onlarca yıldır kullanıldığını gösteriyor. Akademik çalışmalar genellikle pratikte var olan şeyin teorik ispatı oluyor.

Bu notların amacı panik yaratmak değil. Bir air-gap ortamını savunan ekip için asıl mesaj şu: izolasyon varsayımına değil, tespite yatırım yap. Fiziksel kanal aktivitesini pasif olarak izle. Normal davranıştan ne anlama geldiğini tanımla, sapmayı fark et. Ve akıllı telefon, laptop, SDR dongle gibi cihazların fiziksel mesafesini ciddi bir güvenlik politikasıyla yönet, çünkü bunlar potansiyel alıcılar. Sonunda şu kalıyor: bir saldırgan için fizik yasaları her zaman orada. Isı yayılıyor, ses geçiyor, elektromanyetik dalgalar duvara takılmıyor. Savunmacı taraf bu gerçeği kabul ettiğinde, gerçekten güvenli bir air-gap mimarisi tasarlamaya başlayabiliyor.

// RAPOR SONU, MUCAHIC / OP-0042 / 2026.03.01