{"id":21994,"date":"2020-06-16T11:23:13","date_gmt":"2020-06-16T09:23:13","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=21994"},"modified":"2020-06-16T11:38:25","modified_gmt":"2020-06-16T09:38:25","slug":"jumping-over-air-gap","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/jumping-over-air-gap\/21994\/","title":{"rendered":"I cybercriminali possono eludere un air gap?"},"content":{"rendered":"

Internet = problemi. Ecco perch\u00e9 uno dei modi pi\u00f9 radicali per mettere in sicurezza un computer che custodisce informazioni estremamente preziose o che controlla un processo critico \u00e8 quello di non collegarlo mai a Internet, o ad alcun tipo di rete, nemmeno a una locale. Tale isolamento fisico prende il nome di air gap<\/em><\/span>.<\/p>\n

Nessuna connessione, nessun problema, giusto? Purtroppo, tale affermazione non \u00e8 del tutto vera: ci sono tecniche piuttosto astute per estrarre dati da un dispositivo sottoposto ad air gap. Un gruppo di ricercatori della Ben-Gurion University di Israele, guidato da Mordechai Guri, \u00e8 specializzato in questi metodi di furto di dati. Ecco cosa sono riusciti a fare, per capire se dobbiamo preoccuparci oppure no.<\/p>\n

Come eludere l\u2019air gap<\/h2>\n

L\u2019idea che i sistemi air gapped siano vulnerabili non \u00e8 una novit\u00e0: gli attacchi alla supply chain o la presenza di sabotatori in azienda sono sempre scenari possibili. Gli attacchi pi\u00f9 semplici utilizzano, ad esempio, una chiavetta infetta: \u00e8 cos\u00ec che il leggendario malware Stuxnet ha iniziato a diffondersi<\/a>.<\/p>\n

Ok, il computer viene infettato, ma come si possono rubare i dati senza una connessione Internet?<\/p>\n

\u00c8 qui che l\u2019inventiva incontra la fisica. Un computer pu\u00f2 essere fisicamente isolato e non trasmettere alcun segnale all\u2019esterno attraverso le reti, ma genera comunque calore, campi magnetici e rumore. \u00c8 attraverso questi canali non ovvi che si possono sottrarre informazioni.<\/p>\n

Ultrasuoni<\/h3>\n

Anche un computer senza altoparlanti o apparecchiature audio \u00e8 in grado di emettere suoni tra 20 Hz e24 KHz (ad esempio, se si cambia la frequenza dell\u2019alimentazione elettrica<\/a>). Inoltre, anche un dispositivo senza un microfono separato pu\u00f2 servire, manipolando gli altoparlanti o le cuffie<\/a>. Una parte significativa della suddetta gamma di frequenza (18 KHz-24 KHz, per la precisione) \u00e8 al di fuori dei limiti dell\u2019udito umano, una caratteristica che pu\u00f2 essere utile in varie situazioni. In casa, ad esempio, l\u2019utilizzo di tale frequenza pu\u00f2 attivare un altoparlante intelligente<\/a>.<\/p>\n

Nel nostro caso in particolare, qualcuno potrebbe infettare un computer con un malware che codifica le informazioni di destinazione e le trasmette per mezzo di ultrasuoni che, a loro volta, sono rilevati da un altro dispositivo infetto nelle vicinanze (ad esempio uno smartphone) e trasferiti all\u2019esterno. Altri metodi scoperti dai ricercatori sfruttano i suoni prodotti dalle ventole<\/a>\u00a0dei computer e dei dishi rigidi<\/a>.<\/p>\n

Elettromagnetismo<\/h3>\n

Non dimenticate il buon, vecchio elettromagnetismo. Una corrente elettrica crea un campo elettromagnetico che pu\u00f2 essere captato e riconvertito in un segnale elettrico. Controllando la corrente, \u00e8 possibile controllare questo campo. Armati di queste conoscenze, gli hacker possono usare il malware per inviare una sequenza di segnali al display e trasformare il cavo del monitor in una specie di antenna. Manipolando il numero e la frequenza dei byte inviati, possono indurre emissioni radio rilevabili da un ricevitore FM. Questo, signore e signori, \u00e8 il modus operandi di AirHopper<\/a>.<\/p>\n

Un altro metodo utilizza il malware GSMem<\/a> per sfruttare le emissioni del bus di memoria del computer. Simile ad AirHopper, il malware invia una serie di zeri e uno lungo il bus, causando variazioni nella radiazione elettromagnetica. \u00c8 possibile codificare le informazioni di queste variazioni e raccoglierle utilizzando un normale telefono cellulare che opera nella banda di frequenza GSM, UMTS o LTE, anche un telefono senza radio FM integrata.<\/p>\n

Il principio generale \u00e8 chiaro: quasi ogni componente del computer pu\u00f2 fare da antenna. Altre ricerche includono metodi per la trasmissione di dati che utilizzano le radiazioni di bus USB<\/a>, interfaccia GPIO<\/a> e cavi di alimentazione<\/a>.<\/p>\n

Magnetismo<\/h3>\n

Una caratteristica particolare dei metodi basati su magneti \u00e8 che in alcuni casi possono funzionare anche in una gabbia di Faraday, che blocca le radiazioni elettromagnetiche ed \u00e8 quindi considerata una protezione molto affidabile.<\/p>\n

L\u2019utilizzo del magnetismo per l\u2019esfiltrazione<\/a> sfrutta la radiazione magnetica ad alta frequenza che generano le CPU e che filtra attraverso l\u2019involucro metallico. Questa radiazione, per esempio, \u00e8 fondamentalmente il motivo per cui una bussola funziona all\u2019interno di una gabbia di Faraday. I ricercatori hanno scoperto che, manipolando il carico sui nuclei di un processore attraverso un software, \u00e8 possibile controllare la sua radiazione magnetica. I ricercatori hanno dovuto semplicemente posizionare un dispositivo di ricezione vicino alla gabbia, il team di Guri ha indicato un raggio d\u2019azione di 1,5 metri. Per ricevere le informazioni, i ricercatori hanno utilizzato un sensore magnetico collegato alla porta seriale di un computer vicino.<\/p>\n

Ottica<\/h3>\n

Tutti i computer, anche quelli sottoposti ad air gap, sono dotati di LED e, controllando il lampeggiamento, sempre attraverso un malware, un cybercriminale pu\u00f2 estrarre informazioni segrete da un dispositivo isolato.<\/p>\n

Questi dati possono essere ottenuti, ad esempio, hackerando una telecamera di sorveglianza in una stanza. \u00c8 cos\u00ec che funzionano, ad esempio, LED-it-GO<\/a> e xLED<\/a>. Per quanto riguarda aIR-Jumper<\/a><\/u>, le telecamere possono funzionare sia come meccanismi di infiltrazione che di esfiltrazione: sono in grado sia di emettere che di catturare la radiazione infrarossa, che \u00e8 invisibile all\u2019occhio umano.<\/p>\n

Termodinamica<\/h3>\n

Un altro canale inaspettato per la trasmissione di dati da un sistema isolato \u00e8 il calore. L\u2019aria all\u2019interno di un computer viene riscaldata dalla CPU, dalla scheda video, dal disco rigido e da numerose periferiche (sarebbe pi\u00f9 facile elencare le parti che non<\/em> generano calore). I computer hanno anche sensori di temperatura incorporati per evitare il surriscaldamento.<\/p>\n

Se un computer air gapped viene istruito da un malware a modificare la temperatura, un secondo dispositivo (online) pu\u00f2 registrare le modifiche, convertirle in informazioni intelligibili e inviare i dati. Affinch\u00e9 i computer possano comunicare tra loro tramite segnali termici, devono essere abbastanza vicini, a non pi\u00f9 di 40 centimetri (o 16 pollici circa) di distanza l\u2019uno dall\u2019altro. Un esempio \u00e8 BitWhisper<\/a>.<\/p>\n

Onde sismiche<\/h3>\n

La vibrazione \u00e8 l\u2019ultimo tipo di radiazione studiata dai ricercatori in grado di trasmettere dati. Il malware manipola di nuovo la velocit\u00e0 delle ventole del computer, ma in questo caso codifica le informazioni di destinazione in vibrazioni, non in suoni. Un\u2019applicazione accelerometrica su uno smartphone che si trova sulla stessa superficie del computer cattura le onde.<\/p>\n

Lo svantaggio di questo metodo \u00e8 la bassissima velocit\u00e0 di trasferimento dati affidabile, circa 0,5 bps. Pertanto, il trasferimento di pochi kilobyte pu\u00f2 richiedere un paio di giorni. Tuttavia, se il cybercriminale non ha fretta, \u00e8 assolutamente fattibile.<\/p>\n

Dobbiamo preoccuparci?<\/h2>\n

Prima di tutto, qualche buona notizia: i metodi di furto di dati che abbiamo descritto sono molto complessi, quindi \u00e8 improbabile che qualcuno li usi per impadronirsi dei vostri bilanci o del database dei clienti. Tuttavia, se i dati con cui lavorate sono di potenziale interesse per agenzie di intelligence straniere o per spionaggio industriale, dovreste almeno essere consapevoli del pericolo.<\/p>\n

Come difendersi<\/h2>\n

Un modo semplice ma efficace per prevenire il furto di informazioni sensibili \u00e8 quello di vietare tutti i dispositivi estranei, compresi telefoni cellulari di qualsiasi tipo, nei locali di lavoro. Se non \u00e8 possibile, o se si desiderano ulteriori misure di sicurezza, vi consigliamo quanto segue:<\/p>\n