Komputer dapat diretas dengan suara frekuensi tinggi

Dengan menggunakan mikrofon dan speaker yang menjadi standar di banyak laptop dan perangkat seluler saat ini, peretas dapat secara diam-diam mengirim dan menerima data menggunakan sinyal audio frekuensi tinggi yang sebagian besar tidak terdengar oleh telinga manusia, sebuah studi baru menunjukkan.

Michael Hanspach dan Michael Goetz, peneliti di Institut Komunikasi, Pemrosesan Informasi, dan Ergonomi Fraunhofer Jerman, baru-baru ini melakukan eksperimen pembuktian konsep yang menunjukkan bahwa “jaringan akustik tersembunyi”, sebuah teknik yang telah dihipotesiskan tetapi dianggap tidak mungkin menurut sebagian besar ahli, hal ini memang mungkin terjadi.

Temuan mereka, dirinci dalam edisi terbaru Jurnal Komunikasidapat mempunyai implikasi besar terhadap keamanan elektronik.

“Jika Anda memiliki permintaan yang tinggi terhadap keamanan dan jaminan informasi, Anda perlu mempersiapkan tindakan penanggulangannya,” tulis Hanspach dalam email ke Inside Science.

Secara khusus, ini berarti bahwa komputer “air-gapped” – yaitu komputer yang tidak terhubung ke Internet – rentan terhadap perangkat lunak berbahaya yang dirancang untuk mencuri atau merusak data.

“Ini benar-benar perkembangan yang layak diberitakan,” kata pensiunan Kapten Angkatan Laut Mark Hagerott, seorang profesor keamanan siber di Akademi Angkatan Laut AS di Annapolis, Md.

“Perlombaan senjata antara teknologi canggih defensif dan ofensif telah berlangsung (untuk waktu yang lama), namun sekarang, dengan rendahnya biaya penulisan kode, pertahanan terhadap hal ini menjadi semakin sulit,” kata Hagerott, yang tidak terlibat dalam penelitian tersebut.

Transmisi rahasia
Dalam eksperimen mereka, Hanspach dan Goetz mampu mengirimkan paket kecil data antara dua laptop bisnis Lenovo dengan celah udara yang dipisahkan oleh jarak hingga sekitar 65 kaki (20 meter). Selain itu, para peneliti mampu membuat “jaringan mesh” yang menyampaikan data melalui jarak yang lebih jauh dengan menghubungkan perangkat tambahan yang merekam sinyal audio dan meneruskannya ke perangkat lain di dekatnya. Yang terpenting, para peneliti dapat memancarkan dan merekam frekuensi ultrasonik dan mendekati ultrasonik, yang tidak dapat dideteksi oleh manusia, menggunakan prosesor suara, speaker, dan mikrofon yang merupakan standar pada laptop.

Para peneliti bereksperimen dengan berbagai perangkat lunak, namun yang terbaik adalah program yang awalnya dikembangkan untuk mengirimkan data secara akustik di bawah air. Dibuat oleh Departemen Riset Akustik dan Geofisika Bawah Air di Jerman, apa yang disebut modem sistem komunikasi adaptif terbukti lebih andal dibandingkan teknik lainnya, namun teknik ini memiliki satu kelemahan yang signifikan: modem hanya dapat mengirimkan data dengan kecepatan rendah sekitar 20 bit per detik—hanya sebagian kecil dari koneksi jaringan standar saat ini.

Meskipun tidak praktis untuk mentransfer video atau file besar lainnya, kecepatan transmisi rendah ini masih cukup untuk mengirim dan menerima penekanan tombol dan data sensitif lainnya seperti kunci enkripsi pribadi atau kredensial login.

“Jika Anda memiliki file kecil dan bernilai tinggi, Anda tidak ingin mengambil risiko,” saran Hanspach.

Persamaan sejarah
Tingkat transmisi yang rendah juga akan cukup untuk mengirimkan sinyal elektronik ke program malware yang tidak sengaja terinstal — misalnya, oleh stik USB yang terinfeksi — pada komputer yang memiliki celah udara dan memicu serangan elektronik, kata Hagerott.

Selain itu, kata Hagerott, jika sejarah bisa menjadi panduan, hanya masalah waktu sebelum seseorang menyempurnakan teknik tersebut dan meningkatkan tingkat penularan maksimumnya.

“Setelah Anda menunjukkan bahwa Anda bisa melakukan hal seperti ini, orang lain akan terus memperbaikinya,” kata Hagerott.

Hagerott juga melihat kesamaan antara perlombaan senjata dunia maya saat ini dan persaingan antara perlombaan senjata nyata di masa lalu. Misalnya, para ahli pernah menyatakan bahwa tidak mungkin sebuah pesawat bisa menenggelamkan kapal perang.

“Mereka bilang, pesawat-pesawat itu tidak cukup besar, tapi kemudian mereka menjadi lebih besar dan mulai membawa bom yang lebih besar. Namun sayangnya, para ahli tidak sepenuhnya menyerap pelajaran ini sampai dua kapal perang Inggris dikirim ke dasar laut pada tahun 1941,” kata Hagerott.

Penanggulangan
Sejarah militer juga menunjukkan bahwa tindakan penanggulangan pada akhirnya akan dikembangkan terhadap ancaman keamanan baru yang ditunjukkan oleh Hanspach dan Goetz. Dalam makalah mereka, para peneliti sendiri menyarankan beberapa hal yang mungkin berhasil. Misalnya, seseorang cukup mematikan input dan output audio perangkat, atau menggunakan teknik pemfilteran audio untuk memblokir sinyal audio frekuensi tinggi.

Perangkat yang menjalankan Linux dapat mengimplementasikan teknik terakhir menggunakan alat yang sudah dikembangkan untuk sistem operasi tersebut, tulis para peneliti. Mereka juga mengusulkan penggunaan “penjaga deteksi intrusi audio”, sebuah perangkat yang, menurut Hanspach dan Goetz, “akan meneruskan sinyal input dan output audio ke tujuannya sekaligus menyimpannya dalam keadaan internal penjaga, di mana sinyal tersebut akan dianalisis lebih lanjut.”

Namun, sering kali titik terlemah dalam sistem keamanan siber bukanlah perangkat keras atau perangkat lunak, melainkan orang-orang yang berinteraksi dengannya. Misalnya, virus Stuxnet yang menyebar ke mesin air-gapped di fasilitas nuklir Natanz Iran dan worm digital Conficker yang mengubah jutaan komputer menjadi botnet raksasa di kota Manchester, Inggris, diyakini menyebar ketika karyawan menggunakannya. stik USB yang terinfeksi.

“Komponen manusia adalah bagian besar dari hal ini,” kata Hagerott.