211service.com
Wie Fansmitter-Malware Daten von Air-Gapped-Computern stiehlt
Wenn es um Computersicherheit geht, ist der ultimative Schutz der Luftspalt – ein physischer Raum zwischen einem Computer und dem Internet, um sicherzustellen, dass das Gerät vollständig von der gefährlichen Welt des Hackens isoliert ist.
Aber während Air-Gap-Computer ein effektiver Weg sind, sie zu schützen, ist es nicht perfekt. In den letzten Jahren haben Computersicherheitsexperten verschiedene teuflische Strategien entwickelt, um Informationen aus diesen Geräten zu extrahieren. Eine besteht darin, die eingebauten Lautsprecher des Computers zu beschlagnahmen und sie zu verwenden, um Daten per Ultraschall an ein nahe gelegenes Aufnahmegerät wie ein Mobiltelefon zu senden. Tatsächlich behaupten einige Sicherheitsforscher, genau diese Art von Ultraschall-Malware in freier Wildbahn gesehen zu haben.
Die beste Gegenmaßnahme für diese Art von Attacke liegt auf der Hand: Entfernen Sie die Lautsprecher. Ohne Lautsprecher zur Tonerzeugung kann ein Computer keine Daten akustisch durchsickern lassen. Das dachten jedenfalls alle.
Heute sagen Mordechai Guri und seine Freunde von der Ben-Gurion-Universität in Israel, dass sie einen anderen Weg gefunden haben, Computer mit Luftspalt zu hacken, diesmal indem sie den Lüfter des Computers befehligen und seine Rotationsgeschwindigkeit modifizieren, um den erzeugten Ton zu steuern. Sie nennen diesen neuen Ansatz einen Fansmitter.
Fansmitter sind im Prinzip einfach. Fast alle Computer verwenden Lüfter, um die Haupt-CPU und die Grafikkarte zu kühlen und Luft durch das Gehäuse zu pumpen. Bei normalem Betrieb ist das von diesen Lüftern erzeugte Hauptgeräusch das Ergebnis von rotierenden Schaufeln, die Luft an statischen Leitschaufeln vorbeidrücken.
Die Frequenz dieses Geräusches hängt von der Anzahl der Schaufeln und ihrer Rotationsgeschwindigkeit ab. Sie liegt normalerweise im Bereich von Hunderten von Hertz. Jede Änderung dieser Rotationsgeschwindigkeit ändert die Frequenz des Tons.
Dies ist die Grundlage ihres Ansatzes. Diese Typen haben Malware entwickelt, die die Rotationsgeschwindigkeit und damit den Klang eines Computerlüfters verändert, um Daten zu verschlüsseln.
Die Malware überträgt Informationen mithilfe eines speziellen Protokolls, bei dem die Informationen in Pakete aufgeteilt werden, die aus einer Präambel und einer Nutzlast bestehen. Die Präambel besteht aus dem Signal 1010, das ein Hörgerät zur Kalibrierung verwenden kann. Darauf folgt eine Nutzlast von 12 Bit, die die zu übertragenden Daten kodieren. Dies kann von jedem Hörgerät in der Nähe, z. B. einem Smartphone, aufgenommen werden.
Ein potenzielles Problem besteht darin, dass ein Benutzer die Schwankungen im Lüftergeräusch bemerken und ihnen gegenüber misstrauisch werden könnte. Also nutzen Guri und Co. tiefe Frequenzen von 140 bis 170 Hertz, die für Menschen schwerer zu hören sind. Das Modulieren der Daten über die Änderung naher Frequenzen ist für einen Benutzer auch weniger wahrnehmbar, da es sich einfügt und als natürliches Hintergrundumgebungsrauschen erscheint, sagen sie.
Schließlich prüfte das Team seine Malware auf Herz und Nieren, indem es sie zur Steuerung sowohl eines CPU-Lüfters als auch eines Gehäuselüfters verwendete, die beide auf heutigen Computern üblich sind. Als Empfänger nutzten sie ein Samsung Galaxy S4 Smartphone mit einer Mikrofonabtastung von 44,1 Hertz. Die Testumgebung war ihr Computerlabor mit gewöhnlichen Hintergrundgeräuschen, sieben Workstations, mehreren Netzwerk-Switches und einer aktiven Klimaanlage.
Die Geschwindigkeit, mit der das Team Informationen senden konnte, war durch die Entfernung zwischen Smartphone und Computer sowie durch die Menge an Hintergrundgeräuschen begrenzt. Trotzdem konnten sie mit Raten von bis zu 900 Bit pro Stunde übertragen. Mit unserer Methode haben wir erfolgreich Daten von einem Air-Gap-Computer ohne Audiohardware an einen Smartphone-Empfänger im selben Raum übertragen, rühmt sich das Team.
Guri und Co sagen, dass die Technik auch auf andere Geräte angewendet werden kann. Wir zeigen, dass unsere Methode auch verwendet werden kann, um Daten von verschiedenen Arten von IT-Geräten, eingebetteten Systemen und IoT-Geräten zu verlieren, die keine Audiohardware haben, aber Lüfter verschiedener Art und Größe enthalten, heißt es.
Das ist eine interessante Arbeit, die Computersicherheitsexperten einen weiteren Grund zur Sorge geben wird. Gegenmaßnahmen sind zahlreich und relativ unkompliziert. Am naheliegendsten ist es, empfindliche Computer in eingeschränkten Bereichen aufzubewahren, in denen Mobiltelefone und andere Aufzeichnungsgeräte verboten sind. Eine andere besteht darin, so viel Hintergrundrauschen zu erzeugen, dass akustische Übertragungen unmöglich sind. Dann besteht die Möglichkeit, etwaige Lüfter durch spezialisierte leise zu ersetzen oder stattdessen eine Wasserkühlung einzusetzen.
Aber all dies fügt einer bereits überlasteten Computersicherheitsbranche eine weitere Ebene an Vorsichtsmaßnahmen und Komplexität hinzu. Die Wahrheit ist, dass es unmöglich ist, perfekte Sicherheit zu erreichen. Das einzige, was garantiert werden kann, ist, dass Sie viele schlaflose Nächte vor sich haben, wenn Sie sich Sorgen machen, dass Ihr Computer Informationen preisgibt.
Ref: arxiv.org/abs/1606.05915 : Fansmitter: Akustische Datenexfiltration aus (lautsprecherlosen) Air-Gap-Computern