Air-Fi: un altro metodo per rubare dati da un computer isolato

Le aziende collocano le proprie informazioni su dispositivi che non sono collegati a una rete locale (né tantomeno a Internet), affinché restino riservate e al di fuori della portata degli hacker: sono i cosiddetti “computer air gapped”. Per quanto sicuro possa sembrare, infettare un dispositivo del genere o un segmento di rete in realtà non è così difficile (ricordiamoci Stuxnet). Estrarre le informazioni ottenute si rivela invece molto più complicato.

È qui che entrano in gioco i metodi più astuti e Mordechai Guri, un ricercatore dell’Università Ben-Gurion del Negev, è specializzato nel trovarli. Il dottor Guri non è l’unico, naturalmente, ma negli ultimi anni è stato protagonista della scoperta di varie dozzine di tecniche.

Un nuovo studio descrive un ulteriore modo per estrarre dati da un computer isolato, questa volta utilizzando la tecnologia Wi-Fi (da cui il nome Air-Fi).

Air-Fi: come funziona

La comodità di Air-Fi è che funziona anche se il computer obiettivo non dispone di apparecchiature Wi-Fi. Si basa invece su malware già installati sul dispositivo che possono utilizzare il bus di memoria DDR SDRAM per generare radiazioni elettromagnetiche alla frequenza di 2,4 GHz. Il malware è in grado di codificare i dati necessari come variazioni di questa radiazione e qualsiasi dispositivo dotato di un ricevitore Wi-Fi, compreso un altro dispositivo compromesso, è in grado di captare e intercettare i segnali generati. Quest’altro dispositivo potrebbe essere un normale smartphone o anche una lampadina intelligente.

Il metodo Air-Fi è particolarmente sgradevole dal punto di vista della sicurezza informatica. Non richiede diritti di amministratore sul computer isolato: un normale account utente può portare a termine il lavoro. Inoltre, l’utilizzo di una macchina virtuale non fornisce alcuna protezione, le macchine virtuali hanno accesso a moduli di memoria.

Velocità e portata di trasmissione dei dati

I ricercatori hanno trasmesso i dati senza distorsioni evidenti a una portata di 2-3 metri (in un caso specifico, fino a 8 metri) e a una velocità fino a 100 bit al secondo, a seconda dell’hardware del computer infetto e del tipo di ricevitore. Come per la maggior parte dei metodi analoghi, non è molto veloce. Il trasferimento di un file di 20 MB, ad esempio, richiederebbe 466 ore. Tuttavia, il testo di “Jingle Bells”, a 1.300 byte, potrebbe essere trasferito in 90 secondi. In questa prospettiva, rubare un nome utente e una password con questa tecnica sembra del tutto realistico.

Come combattere l’Air-Fi

L’utilizzo dell’Air-Fi comporta emissioni elettromagnetiche. È possibile contrastare questa tecnica utilizzando le seguenti misure:

• Non consentite per nessun motivo l’utilizzo di dispositivi abilitati alla connessione Wi-Fi in prossimità di sistemi isolati;
• Monitorate i sistemi isolati alla ricerca di processi sospetti;
• Proteggete il computer con una gabbia di Faraday;
• Vietate tutti i dispositivi esterni all’interno dell’azienda, compresi i vecchi telefoni di una volta.

Quest’ultimo è l’approccio più radicale, ma anche il più efficace.

Come tutti i metodi simili, l’Air-Fi è troppo lento e difficile da usare da parte dei comuni criminali informatici per gli attacchi di tutti i giorni. Può però interessare le spie industriali e i governi per la sua capacità di lavorare senza diritti di amministratore. Il testo integrale dello studio fornisce maggiori informazioni su questa nuova tecnica.