{"id":23689,"date":"2021-01-08T12:17:43","date_gmt":"2021-01-08T10:17:43","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=23689"},"modified":"2021-01-08T12:21:17","modified_gmt":"2021-01-08T10:21:17","slug":"rc3-etherify","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/rc3-etherify\/23689\/","title":{"rendered":"Ethernet e la trasmissione di dati wireless"},"content":{"rendered":"

Al Chaos Communication Congress, alla fine dello scorso anno, il ricercatore e radio amatore Jacek Lipkowski ha presentato i risultati dei suoi esperimenti<\/a> di esfiltrazione dei dati da una rete isolata attraverso la radiazione elettromagnetica di fondo generata dalle apparecchiature di rete. La presentazione di Lipkowski sar\u00e0 anche la pi\u00f9 recente, ma non \u00e8 certo l\u2019unica: nuovi metodi di esfiltrazione di informazioni da computer e reti air gapped vengono scoperti con una regolarit\u00e0 inquietante.<\/p>\n

Qualsiasi cavo pu\u00f2 funzionare come antenna e i criminali informatici che si infiltrano in una rete isolata ed eseguono il loro codice potrebbero, in teoria, usare un\u2019antenna di fortuna per trasmettere dati al mondo esterno, basterebbe solo modulare la radiazione mediante un software.<\/p>\n

Lipkowski ha deciso di testare se le reti Ethernet convenzionali possono davvero essere utilizzare per la trasmissione di dati.<\/p>\n

Specifichiamo subito: per i suoi esperimenti, il ricercatore si \u00e8 servito sopratutto di Raspberry Pi 4 modello B ma ha affermato che i risultati sono sicuramente riproducibili utilizzando altri dispositivi collegati a Ethernet, o, almeno, embedded. Per trasmettere i dati ha usato il codice Morse; non \u00e8 il metodo pi\u00f9 efficiente, ma \u00e8 facile da implementare. Qualsiasi radio amatore, infatti, pu\u00f2 ricevere il segnale con una radio e decifrare il messaggio ascoltandolo, per questo il codice Morse costituisce un\u2019ottima opzione per dimostrare la vulnerabilit\u00e0, che l\u2019autore ha battezzato con il nome Etherify.<\/p>\n

Esperimento 1: modulazione della frequenza<\/h2>\n

I moderni controller Ethernet utilizzano la cosiddetta interfaccia standardizzata indipendente dai media<\/em> (MII, Media-Independent Interface<\/em>). L\u2019MII prevede la trasmissione dei dati a varie frequenze a seconda della larghezza di banda: 2,5 MHz a 10 Mbit\/s, 25 MHz a 100 Mbit\/s e 125 MHz a 1 Gbit\/s. Allo stesso tempo, i dispositivi di rete consentono di cambiare la larghezza di banda, generando le corrispondenti variazioni di frequenza.<\/p>\n

Le frequenze di trasmissione dati, che generano diverse radiazioni elettromagnetiche dal cavo, sono gli \u201cinterruttori\u201d che consentono la modulazione del segnale. Un semplice script (con 10 Mbit\/s come interferenza 0 e 100 Mbit\/s come interferenza 1, per esempio), pu\u00f2 far s\u00ec che il controller di rete trasmetta i dati a una certa velocit\u00e0 generando cos\u00ec, essenzialmente, i punti e i trattini del codice Morse, che un ricevitore radio pu\u00f2 facilmente catturare fino a 100 metri di distanza.<\/p>\n

Esperimento 2: trasferimento dei dati<\/h2>\n

Il cambio nella velocit\u00e0 di trasmissione dati non \u00e8 l\u2019unico modo per modulare un segnale. Un\u2019altra tecnica impiega le variazioni della radiazione di fondo provenienti da apparecchiature di rete in funzione: ad esempio, un malware su un computer isolato potrebbe utilizzare l\u2019utility di rete standard per verificare l\u2019integrit\u00e0 della connessione (ping -f) e per caricare i dati sul canale. Le interruzioni di trasferimento e le riprese saranno udibili fino a 30 metri di distanza.<\/p>\n

Esperimento 3: senza necessit\u00e0 di un cavo<\/h2>\n

Il terzo esperimento non era previsto, tuttavia i risultati si sono rivelati interessanti. Durante il primo test, Lipkowski ha dimenticato di collegare un cavo al dispositivo di trasmissione, ma \u00e8 stato comunque in grado di sentire il cambiamento della velocit\u00e0 di trasmissione dati del controller da circa 50 metri di distanza. Ci\u00f2 significa che, in linea di massima, i dati possono essere trasferiti da una macchina isolata, purch\u00e9 la macchina abbia un controller di rete, indipendentemente dal fatto che sia collegata o meno a una rete. La maggior parte delle schede madri moderne dispone di un controller Ethernet.<\/p>\n

Altri esperimenti<\/h2>\n

Il metodo di trasmissione dati Air-Fi \u00e8 generalmente riproducibile sui dispositivi per ufficio (portatili, router), ma l\u2019efficacia \u00e8 variabile. Ad esempio, i controller di rete del portatile che Lipkowski ha utilizzato per cercare di riprodurre l\u2019esperimento iniziale, hanno stabilito una connessione pochi secondi dopo ogni variazione della velocit\u00e0 di trasmissione dei dati, rallentando sostanzialmente la trasmissione dei dati in codice Morse (anche se il ricercatore \u00e8 riuscito a trasmettere un messaggio semplice). La distanza massima dall\u2019apparecchiatura varia di molto a seconda dei modelli specifici. Lipkowski continua a fare esperimenti in questo campo.<\/p>\n

Valenza pratica<\/h2>\n

Contrariamente a quanto si creda, le reti isolate alla base degli airgap sono utilizzate non solo nei laboratori top-secret e nelle infrastrutture critiche, ma anche nelle normali aziende, che spesso utilizzano i dispositivi isolati come i moduli di sicurezza hardware (per la gestione di chiavi digitali, per la cifratura e la decifrazione delle firme digitali o altre esigenze simili) o le workstation isolate dedicate (come le Certificate Authority<\/em> o CA). Se la vostra azienda si avvale di sistemi di questo tipo, tenete presente il potenziale rischio di fughe di informazioni dai sistemi air gapped.<\/p>\n

Detto questo, Lipkowski ha utilizzato un ricevitore USB casalingo abbastanza economico. I criminali informatici dotati di risorse significative possono probabilmente permettersi apparecchiature pi\u00f9 sensibili, aumentando la portata della ricezione.<\/p>\n

Per quanto riguarda le misure pratiche per proteggere la vostra azienda da tali fughe di dati, vi ricordiamo alcuni ovvi consigli:<\/p>\n