Uma equipe de pesquisadores de segurança - que se concentra principalmente em encontrar maneiras inteligentes de entrar em computadores com acesso aéreo, explorando as emissões pouco percebidas dos componentes de um computador como luz, som e calor - publicaram outra pesquisa que mostra que eles podem roubar dados não só de um computador de entreferro, mas também de um computador dentro de uma gaiola de Faraday.
Os computadores com abertura de ar são aqueles que são isolados da Internet e das redes locais e, portanto, são considerados os dispositivos mais seguros que são difíceis de infiltrar.
Considerando que as gaiolas de Faraday são cercas metálicas que ainda bloqueiam todos os sinais eletromagnéticos, tais como Wi-Fi, Bluetooth, celular e outras comunicações sem fio, tornando qualquer dispositivo mantido dentro da gaiola, ainda mais, isolar de redes externas.
Os computadores com abertura de ar são aqueles que são isolados da Internet e das redes locais e, portanto, são considerados os dispositivos mais seguros que são difíceis de infiltrar.
Considerando que as gaiolas de Faraday são cercas metálicas que ainda bloqueiam todos os sinais eletromagnéticos, tais como Wi-Fi, Bluetooth, celular e outras comunicações sem fio, tornando qualquer dispositivo mantido dentro da gaiola, ainda mais, isolar de redes externas.
No entanto, o Centro de Pesquisa de Segurança Cibernética da Universidade Ben Gurion de Israel, dirigido por Mordechai Guri, de 38 anos, desenvolveu duas técnicas que os ajudaram a exfiltrar dados de computadores colocados dentro de uma gaiola de Faraday.
Apontou MAGNETO [ pdf ] e ODINI [ pdf ], ambas as técnicas utilizam o malware de prova de conceito (PoC) instalado em um computador com gadgets internos dentro da gaiola de Faraday para controlar os "campos magnéticos que emanam do computador, regulando as cargas de trabalho nos núcleos da CPU "e use-a para transmitir dados de forma sigilosa.
"Todo mundo estava falando sobre romper o vazio para entrar, mas ninguém estava falando sobre como obter a informação", diz Guri. "Isso abriu o portão para toda essa pesquisa, para quebrar o paradigma de que existe um selo hermético em torno de redes abertas a ar".De acordo com o pesquisador, uma vez que um computador (não importa se é administrado pelo ar ou dentro de uma gaiola de Faraday) foi infectado, os hackers podem exfiltrar dados roubados sem precisar esperar por outra conexão tradicional à máquina infectada.
Como o MAGNETO & ODINI Attacks Work:
Uma vez que um atacante motivado de alguma forma conseguiu plantar malwares em um computador com espaço aéreo, o malware então coleciona pequenas informações, como dados de keylogging, chaves de criptografia, tokens de credenciais e senhas.
Leia também: A CIA desenvolveu Malware para Hacking Air-Gapped Networks .
O malware PoC desenvolvido pela equipe, em seguida, gera eletricamente um padrão de freqüências de campo magnético, regulando a carga de trabalho da CPU, o que pode ser obtido pela sobrecarga da CPU com cálculos que aumentam o consumo de energia e geram um campo magnético mais forte.
Essas emissões eletromagnéticas (acústicas, ópticas e térmicas) do computador infectado são poderosas o suficiente para levar um pequeno fluxo de dados roubados para um dispositivo próximo, um receptor plantado pelo hacker.
O processo envolve a tradução de dados primeiro em binário, ou seja, 0 e 1, e a transmissão em padrões de código morse de acordo com a emissão eletromagnética.
"O programa de transmissão deixa apenas uma pequena pegada na memória, tornando a sua presença mais fácil de se esconder dos AV. No nível do sistema operacional, o programa de transmissão não requer privilégios especiais ou elevados (por exemplo, root ou admin) e, portanto, pode ser iniciado a partir de um processo de espaço de usuário comum ", lê o artigo.
"O código transmissor consiste principalmente em operações básicas da CPU, como loops ocupados, que não expõem comportamentos maliciosos, tornando-o altamente evasivo a partir de ferramentas de análise automatizada".Leia também: roubando dados de computadores com
gadgets a ar usando câmeras CCTV Enquanto os ataques MAGNETO e ODINI são projetados para exfiltrar dados de um computador seguro usando emissões eletromagnéticas, a única diferença entre os dois é:
- O MAGNETO é um ataque de curta distância em que um aplicativo Android instalado no smartphone do atacante pode receber dados roubados com a ajuda do magnetômetro do telefone - um sensor magnético que pode transmitir dados, mesmo que o smartphone seja colocado dentro de um saco Faraday ou esteja configurado para o modo avião .
- O ataque ODINI permite que os invasores capturem sinais eletromagnéticos de uma faixa ligeiramente mais longa usando um sensor magnético dedicado.
No caso do MAGNETO, o time conseguiu atingir apenas 5 bits / segundo em uma distância de até 12,5 cm (5 polegadas), enquanto o ODINI é bastante mais eficiente com uma taxa de transferência máxima de 40 bits / segundo em uma faixa de 100 a 150 cm (3-5 pés).
Tanto o ODINI quanto o MAGNETO também funcionam se o dispositivo de gotejamento de ar alvo estiver dentro de uma gaiola de Faraday, que é projetado para bloquear campos eletromagnéticos, incluindo Bluetooth, Wi-Fi, celular e outras comunicações sem fio.
Os pesquisadores sugerem três abordagens diferentes que podem ser usadas para impedir que invasores estabeleçam um canal magnético secreto, ou seja, proteção, bloqueio e zoneamento.
A equipe publicou demonstrações de vídeos de prova de conceito para ataques MAGNETO e ODINI, que mostra os ataques em ação.
Os pesquisadores sugerem três abordagens diferentes que podem ser usadas para impedir que invasores estabeleçam um canal magnético secreto, ou seja, proteção, bloqueio e zoneamento.
Demonstração de Vídeo dos Ataques MAGNETO e ODINI
A equipe publicou demonstrações de vídeos de prova de conceito para ataques MAGNETO e ODINI, que mostra os ataques em ação.
Comentários
Postar um comentário