I cybercriminali possono eludere un air gap?

Se non siete collegati a Internet, nessuno può rubare i vostri dati, giusto? Non proprio.

Internet = problemi. Ecco perché uno dei modi più radicali per mettere in sicurezza un computer che custodisce informazioni estremamente preziose o che controlla un processo critico è quello di non collegarlo mai a Internet, o ad alcun tipo di rete, nemmeno a una locale. Tale isolamento fisico prende il nome di air gap.

Nessuna connessione, nessun problema, giusto? Purtroppo, tale affermazione non è del tutto vera: ci sono tecniche piuttosto astute per estrarre dati da un dispositivo sottoposto ad air gap. Un gruppo di ricercatori della Ben-Gurion University di Israele, guidato da Mordechai Guri, è specializzato in questi metodi di furto di dati. Ecco cosa sono riusciti a fare, per capire se dobbiamo preoccuparci oppure no.

Come eludere l’air gap

L’idea che i sistemi air gapped siano vulnerabili non è una novità: gli attacchi alla supply chain o la presenza di sabotatori in azienda sono sempre scenari possibili. Gli attacchi più semplici utilizzano, ad esempio, una chiavetta infetta: è così che il leggendario malware Stuxnet ha iniziato a diffondersi.

Ok, il computer viene infettato, ma come si possono rubare i dati senza una connessione Internet?

È qui che l’inventiva incontra la fisica. Un computer può essere fisicamente isolato e non trasmettere alcun segnale all’esterno attraverso le reti, ma genera comunque calore, campi magnetici e rumore. È attraverso questi canali non ovvi che si possono sottrarre informazioni.

Ultrasuoni

Anche un computer senza altoparlanti o apparecchiature audio è in grado di emettere suoni tra 20 Hz e24 KHz (ad esempio, se si cambia la frequenza dell’alimentazione elettrica). Inoltre, anche un dispositivo senza un microfono separato può servire, manipolando gli altoparlanti o le cuffie. Una parte significativa della suddetta gamma di frequenza (18 KHz-24 KHz, per la precisione) è al di fuori dei limiti dell’udito umano, una caratteristica che può essere utile in varie situazioni. In casa, ad esempio, l’utilizzo di tale frequenza può attivare un altoparlante intelligente.

Nel nostro caso in particolare, qualcuno potrebbe infettare un computer con un malware che codifica le informazioni di destinazione e le trasmette per mezzo di ultrasuoni che, a loro volta, sono rilevati da un altro dispositivo infetto nelle vicinanze (ad esempio uno smartphone) e trasferiti all’esterno. Altri metodi scoperti dai ricercatori sfruttano i suoni prodotti dalle ventole dei computer e dei dishi rigidi.

Elettromagnetismo

Non dimenticate il buon, vecchio elettromagnetismo. Una corrente elettrica crea un campo elettromagnetico che può essere captato e riconvertito in un segnale elettrico. Controllando la corrente, è possibile controllare questo campo. Armati di queste conoscenze, gli hacker possono usare il malware per inviare una sequenza di segnali al display e trasformare il cavo del monitor in una specie di antenna. Manipolando il numero e la frequenza dei byte inviati, possono indurre emissioni radio rilevabili da un ricevitore FM. Questo, signore e signori, è il modus operandi di AirHopper.

Un altro metodo utilizza il malware GSMem per sfruttare le emissioni del bus di memoria del computer. Simile ad AirHopper, il malware invia una serie di zeri e uno lungo il bus, causando variazioni nella radiazione elettromagnetica. È possibile codificare le informazioni di queste variazioni e raccoglierle utilizzando un normale telefono cellulare che opera nella banda di frequenza GSM, UMTS o LTE, anche un telefono senza radio FM integrata.

Il principio generale è chiaro: quasi ogni componente del computer può fare da antenna. Altre ricerche includono metodi per la trasmissione di dati che utilizzano le radiazioni di bus USB, interfaccia GPIO e cavi di alimentazione.

Magnetismo

Una caratteristica particolare dei metodi basati su magneti è che in alcuni casi possono funzionare anche in una gabbia di Faraday, che blocca le radiazioni elettromagnetiche ed è quindi considerata una protezione molto affidabile.

L’utilizzo del magnetismo per l’esfiltrazione sfrutta la radiazione magnetica ad alta frequenza che generano le CPU e che filtra attraverso l’involucro metallico. Questa radiazione, per esempio, è fondamentalmente il motivo per cui una bussola funziona all’interno di una gabbia di Faraday. I ricercatori hanno scoperto che, manipolando il carico sui nuclei di un processore attraverso un software, è possibile controllare la sua radiazione magnetica. I ricercatori hanno dovuto semplicemente posizionare un dispositivo di ricezione vicino alla gabbia, il team di Guri ha indicato un raggio d’azione di 1,5 metri. Per ricevere le informazioni, i ricercatori hanno utilizzato un sensore magnetico collegato alla porta seriale di un computer vicino.

Ottica

Tutti i computer, anche quelli sottoposti ad air gap, sono dotati di LED e, controllando il lampeggiamento, sempre attraverso un malware, un cybercriminale può estrarre informazioni segrete da un dispositivo isolato.

Questi dati possono essere ottenuti, ad esempio, hackerando una telecamera di sorveglianza in una stanza. È così che funzionano, ad esempio, LED-it-GO e xLED. Per quanto riguarda aIR-Jumper, le telecamere possono funzionare sia come meccanismi di infiltrazione che di esfiltrazione: sono in grado sia di emettere che di catturare la radiazione infrarossa, che è invisibile all’occhio umano.

Termodinamica

Un altro canale inaspettato per la trasmissione di dati da un sistema isolato è il calore. L’aria all’interno di un computer viene riscaldata dalla CPU, dalla scheda video, dal disco rigido e da numerose periferiche (sarebbe più facile elencare le parti che non generano calore). I computer hanno anche sensori di temperatura incorporati per evitare il surriscaldamento.

Se un computer air gapped viene istruito da un malware a modificare la temperatura, un secondo dispositivo (online) può registrare le modifiche, convertirle in informazioni intelligibili e inviare i dati. Affinché i computer possano comunicare tra loro tramite segnali termici, devono essere abbastanza vicini, a non più di 40 centimetri (o 16 pollici circa) di distanza l’uno dall’altro. Un esempio è BitWhisper.

Onde sismiche

La vibrazione è l’ultimo tipo di radiazione studiata dai ricercatori in grado di trasmettere dati. Il malware manipola di nuovo la velocità delle ventole del computer, ma in questo caso codifica le informazioni di destinazione in vibrazioni, non in suoni. Un’applicazione accelerometrica su uno smartphone che si trova sulla stessa superficie del computer cattura le onde.

Lo svantaggio di questo metodo è la bassissima velocità di trasferimento dati affidabile, circa 0,5 bps. Pertanto, il trasferimento di pochi kilobyte può richiedere un paio di giorni. Tuttavia, se il cybercriminale non ha fretta, è assolutamente fattibile.

Dobbiamo preoccuparci?

Prima di tutto, qualche buona notizia: i metodi di furto di dati che abbiamo descritto sono molto complessi, quindi è improbabile che qualcuno li usi per impadronirsi dei vostri bilanci o del database dei clienti. Tuttavia, se i dati con cui lavorate sono di potenziale interesse per agenzie di intelligence straniere o per spionaggio industriale, dovreste almeno essere consapevoli del pericolo.

Come difendersi

Un modo semplice ma efficace per prevenire il furto di informazioni sensibili è quello di vietare tutti i dispositivi estranei, compresi telefoni cellulari di qualsiasi tipo, nei locali di lavoro. Se non è possibile, o se si desiderano ulteriori misure di sicurezza, vi consigliamo quanto segue:

  • Isolate i locali che contengono il computer sottoposti ad air gap e mantenete una certa distanza tra i dispositivi (una sorta di distanza sociale per la tecnologia);
  • Proteggete i locali, o posizionate il computer all’interno di una gabbia di Faraday (benché, come si evinced alla sezione sul magnetismo, non è una vera e propria garanzia);
  • Eseguite misurazioni della radiazione magnetica del computer e osservate le anomalie;
  • Limitate o vietate l’uso di altoparlanti;
  • Disattivate tutte i dispositivi audio del computer;
  • Create interferenze sonore nei locali in cui si trovano i computer air gapped;
  • Limitate la funzionalità a infrarossi delle telecamere di sorveglianza (anche se, purtroppo, questa scelta riduce la loro efficacia al buio);
  • Riducete la visibilità dei LED (copriteli con del nastro, scollegateli o smontateli);
  • Disattivate le porte USB sul computer air gapped per prevenire le infezioni.

Inoltre, i ricercatori ritengono che, nella maggior parte dei casi, una migliore protezione a livello di software aiuta anche a ottenere un maggior isolamento. In altre parole, assicuratevi di installare soluzioni di sicurezza affidabili in grado di identificare attività dannose. Se un dispositivo isolato viene utilizzato anche per attività standard (uno scenario abbastanza comune nel caso di computer air gapped), passate  alla modalità Default Deny, che blocca automaticamente l’esecuzione di programmi o processi inattesi.

 

Consigli