COVID-bit: de truc met draadloze spyware met een ongelukkige naam

Heruitgegeven door Plato

volgers: 0

Als je een regelmatige lezer van Naked Security bent, kun je waarschijnlijk wel raden waar op de planeet we naartoe gaan in deze virtuele reis….

…we vertrekken weer naar de afdeling Software and Information Systems Engineering aan de Ben-Gurion Universiteit van de Negev in Israël.

Onderzoekers van het Cyber-Security Research Centre van de afdeling onderzoeken regelmatig beveiligingskwesties die verband houden met zogenaamde luchtledig netwerken.

Zoals de naam al doet vermoeden, wordt een airgapped netwerk opzettelijk niet alleen losgekoppeld van internet, maar ook van andere netwerken, zelfs die in dezelfde faciliteit.

Om een veilige, hoogbeveiligde gegevensverwerkingsruimte te creëren (of, beter gezegd, een zone met een hogere beveiliging dan zijn buren waar gegevens niet gemakkelijk kunnen ontsnappen), zijn er geen fysieke draden verbonden van het airgapped netwerk naar een ander netwerk .

Bovendien is alle hardware voor draadloze communicatie meestal uitgeschakeld (en idealiter indien mogelijk fysiek verwijderd, of permanent losgekoppeld door draden of sporen van printplaten door te knippen als dat niet het geval is).

Het idee is om een omgeving te creëren waarin zelfs als aanvallers of ontevreden insiders erin slagen kwaadaardige code zoals spyware te injecteren in het systeem zouden ze het niet gemakkelijk of zelfs maar mogelijk vinden om hun gestolen gegevens terug te krijgen uit weer.

.s-knop+.s-knop { marge-links: .3125rem; } .s-knop { transitie: alle .15s lineair; lettergrootte: .875rem; lijnhoogte: 1.5; kleur: #f2f2f2; font-familie: SophosSansMedium, Helvetica Neue, Helvetica, Arial, schreefloos; lettergewicht: 400; lettertype-stijl: normaal; weergave: inline-blok; vulling: .3125rem 1.25rem; cursor: aanwijzer; tekst uitlijnen: midden; tekstdecoratie: geen; rand: 1px solide #005bc8; grens-radius: 3px; achtergrondkleur: #005bc8; tekstschaduw: geen; } .s-button:hover { tekstdecoratie: geen; kleur: #fff; randkleur: #002d62; achtergrondkleur: #002d62; } .s-knop-wit, .s-knop-wit:hover { kleur: #005bc8 !belangrijk; randkleur: #fff; achtergrondkleur: #fff; } .s-ad-sophos-mdr { font-size: 1rem; lijnhoogte: 1.5; kleur: #242629; font-familie: SophosSansRegular, Helvetica Neue, Helvetica, Arial, schreefloos; lettergewicht: 400; lettertype-stijl: normaal; positie: relatief; maximale breedte: 769px; marge: 15px automatisch; opvulling: 30px 30px 25px; overgang: box-schaduw .25s kubieke-bezier (.645, .045, .355, 1 ); tekst uitlijnen: midden; achtergrondkleur: #0d141d; achtergrondherhaling: geen herhaling; achtergrondpositie: 50%; achtergrondformaat: omslag; box-schaduw: 0 0 0 0 0 transparant; achtergrondkleur: #005bc8; achtergrondafbeelding: geen; achtergrondpositie: 0 0; } .s-ad-sophos-mdr__title { font-size: 2rem; lijnhoogte: 1.125; marge-onder: 4px; kleur: #fff; } .s-ad-sophos-mdr__text { font-familie: SophosSansLight, Helvetica Neue, Helvetica, Arial, schreefloos; lettergewicht: 400; lettertype-stijl: normaal; lettergrootte: 17px; kleur: #fff; } .s-ad-sophos-mdr__action { margin-top: 15px; } .s-ad-sophos-mdr__action .s-button { kleur: #fff; } .s-ad-sophos-mdr__link-wrapper { tekstdecoratie: geen; } .s-ad-sophos-mdr__link-wrapper:hover .s-ad-sophos-mdr { box-shadow: 0 5px 10px 0 rgba (0, 0, 0, .15); } .s-ad-sophos-mdr__sophos-logo { positie: absoluut; boven: 15px; rechts: 15px; } .s-ad-sophos-mdr__sophos-logo-svg { display: inline-block; breedte: 64px; hoogte: 11px; verticaal uitlijnen: boven; achtergrondherhaling: geen herhaling; achtergrondgrootte: 64px 11px; } .s-ad-sophos-mdr__title { font-familie: SophosSansSemibold, Helvetica Neue, Helvetica, Arial, schreefloos; lettergewicht: 400; lettertype-stijl: normaal; lettergrootte: 28px; lettergewicht: 700; lijnhoogte: 1; marge-onder: 10px; tekst uitlijnen: links; } .s-ad-sophos-mdr__title svg { max-breedte: 100%; } .s-ad-sophos-mdr__text { font-size: 16px; lijnhoogte: 1.25; tekst uitlijnen: links; } .s-ad-sophos-mdr__action { text-align: rechts; } .s-ad-sophos-mdr .s-button { border-radius: 20px; } @media (min-breedte:769px) { .s-ad-sophos-mdr__text { marge-rechts: 140px; } .s-ad-sophos-mdr__action { positie: absoluut; rechts: 30px; onderkant: 30px; } } @media (max-breedte:768px) { .s-ad-sophos-mdr { padding-top: 50px; } .s-ad-sophos-mdr__title { font-size: 1.625rem; } .s-ad-sophos-mdr__text { font-size: 16px; } .s-ad-sophos-mdr { padding-top: 30px; } }

Het is moeilijker dan het klinkt

Helaas is het creëren van een bruikbaar airgapped-netwerk zonder externe "data-mazen" moeilijker dan het klinkt, en de onderzoekers van de Ben-Gurion University hebben in het verleden talloze haalbare trucs beschreven, samen met hoe je ze kunt verminderen.

We hebben, weliswaar met een mengeling van fascinatie en verrukking, al vaker over hun werk geschreven, inclusief maffe trucs zoals GAIROSCOOP (de kompaschip van een mobiele telefoon veranderen in een grove microfoon), LANTENNE (met bedrade netwerkkabels als radioantennes) en de FANSMITTER (variërende ventilatorsnelheid van de CPU door de systeembelasting te wijzigen om een audio "datakanaal" te creëren).

Deze keer hebben de onderzoekers hun nieuwe truc de ongelukkige en misschien onnodig verwarrende naam gegeven COVID-bit, Waar COV wordt expliciet vermeld als staand voor "geheim", en dat moeten we raden ID-bit staat voor zoiets als "onthulling van informatie, bit-by-bit".

Dit schema voor data-exfiltratie gebruikt de eigen voeding van een computer als een bron van ongeautoriseerde maar detecteerbare en decodeerbare radiotransmissies.

De onderzoekers claimen geheime datatransmissiesnelheden tot 1000 bits/sec (wat 40 jaar geleden een perfect bruikbare en bruikbare inbelmodemsnelheid was).

Ze beweren ook dat de gelekte gegevens kunnen worden ontvangen door een ongewijzigde en onschuldig ogende mobiele telefoon – zelfs een met alle eigen draadloze hardware uitgeschakeld – tot op 2 meter afstand.

Dit betekent dat handlangers buiten een beveiligd lab deze truc zouden kunnen gebruiken om onopgemerkt gestolen gegevens te ontvangen, ervan uitgaande dat de muren van het lab niet voldoende goed zijn afgeschermd tegen radiolekkage.

Dus, hier is hoe COVID-bit werkt.

Energiebeheer als datakanaal

Moderne CPU's variëren doorgaans hun bedrijfsspanning en frequentie om zich aan te passen aan veranderende belasting, waardoor het stroomverbruik wordt verminderd en oververhitting wordt voorkomen.

Sommige laptops regelen inderdaad de CPU-temperatuur zonder dat er ventilatoren nodig zijn, door de processor opzettelijk te vertragen als deze te heet begint te worden, door zowel de frequentie als het voltage aan te passen om afvalwarmte te verminderen ten koste van lagere prestaties. (Als je je ooit hebt afgevraagd waarom je nieuwe Linux-kernels in de winter sneller lijken te bouwen, is dit misschien de reden.)

Ze kunnen dit doen dankzij een handig elektronisch apparaat dat bekend staat als een SMPS, een afkorting van geschakelde voeding.

SMPS'en gebruiken geen transformatoren en variabele weerstanden om hun uitgangsspanning te variëren, zoals ouderwetse, omvangrijke, inefficiënte, zoemende stroomadapters dat vroeger deden.

In plaats daarvan nemen ze een constante ingangsspanning en zetten deze om in een nette DC-blokgolf door een snel schakelende transistor te gebruiken om de spanning volledig aan en volledig uit te schakelen, van honderdduizenden tot miljoenen keren per seconde.

Vrij eenvoudige elektrische componenten zetten dit opgedeelde DC-signaal vervolgens om in een constante spanning die evenredig is met de verhouding tussen hoe lang de "aan" -trappen en de "uit" -trappen in de netjes geschakelde blokgolf zijn.

Losjes gezegd, stel je een 12V DC-ingang voor die 1/500,000ste van een seconde volledig is ingeschakeld en vervolgens 1/250,000ste van een seconde volledig is uitgeschakeld, keer op keer, dus het is 12/1 van de tijd op 3V en bij 0V voor 2/3 ervan. Stel je dan voor dat deze elektrische blokgolf wordt "afgevlakt" door een inductor, een diode en een condensator in een continue DC-uitgang op 1/3 van het piekingangsniveau, waardoor een bijna perfect stabiele output van 4V wordt geproduceerd.

Zoals u zich kunt voorstellen, brengt dit schakelen en afvlakken snelle veranderingen van stroom en spanning in de SMPS met zich mee, die op hun beurt bescheiden elektromagnetische velden creëren (simpel gezegd, Radio golven) die weglekken via de metalen geleiders in het apparaat zelf, zoals geleidersporen op printplaten en koperen bedrading.

En waar elektromagnetische lekkage is, kun je er zeker van zijn dat onderzoekers van de Ben-Gurion University naar manieren zullen zoeken om het te gebruiken als een mogelijk geheim signaleringsmechanisme.

Maar hoe kun je de radioruis van een SMPS die miljoenen keren per seconde schakelt gebruiken om iets anders dan ruis over te brengen?

Verander de overstapsnelheid

De truc, volgens a verslag geschreven door onderzoeker Mordechai Guri, is om de belasting van de CPU plotseling en drastisch te variëren, maar met een veel lagere frequentie, door opzettelijk de code die op elke CPU-kern wordt uitgevoerd tussen 5000 en 8000 keer per seconde te veranderen.

Door een systematisch patroon van veranderingen in de processorbelasting te creëren bij deze relatief lage frequenties...

... Guri was in staat om de SMPS te misleiden het schakelen van zijn hoogfrequente schakelsnelheden zodanig dat het laagfrequente radiopatronen genereerde die op betrouwbare wijze konden worden gedetecteerd en gedecodeerd.

Beter nog, gezien het feit dat zijn opzettelijk gegenereerde elektromagnetische "pseudo-ruis" opdook tussen 0 Hz en 60 kHz, bleek het goed overeen te komen met de bemonsteringsmogelijkheden van de gemiddelde audiochip van een laptop of mobiele telefoon, die wordt gebruikt voor het digitaliseren van spraak en het afspelen muziek.

(De zin audio-chip hierboven is geen typfout, ook al hebben we het over radiogolven, zoals je snel zult zien.)

Het menselijk oor kan immers frequenties tot ongeveer 20 kHz horen, en je moet output produceren of input opnemen met minstens twee keer die snelheid om geluidsoscillaties betrouwbaar te detecteren en dus om hoge frequenties als levensvatbare geluidsgolven te reproduceren in plaats van gewoon spikes of "rechte lijnen" in DC-stijl.

Bemonsteringsfrequenties voor cd's (CD's, als je je die nog herinnert) zijn om deze reden ingesteld op 44,100 Hz, en DAT (digitale geluidsband) volgde kort daarna, gebaseerd op een vergelijkbare maar iets andere frequentie van 48,000 Hz.

Als gevolg hiervan ondersteunen bijna alle digitale audioapparaten die tegenwoordig in gebruik zijn, inclusief die in headsets, mobiele telefoons en microfoons voor podcasting, een opnamesnelheid van 48,000 Hz. (Sommige mooie microfoons gaan hoger, verdubbelen, verdubbelen en zelfs verviervoudigen die snelheid tot 384 kHz, maar 48 kHz is een snelheid waarbij je kunt aannemen dat bijna elk hedendaags digitaal audioapparaat, zelfs de goedkoopste die je kunt vinden, in staat zal zijn om dossier.)

Waar audio en radio elkaar ontmoeten

Traditionele microfoons zetten fysieke geluidsdruk om in elektrische signalen, dus de meeste mensen associëren de audio-aansluiting op hun laptop of mobiele telefoon niet met elektromagnetische straling.

Maar je kunt die van je mobiele telefoon wel omzetten audio circuits in een lage kwaliteit, lage frequentie, low-power radio ontvanger of zender...

... gewoon door een "microfoon" (of een paar "hoofdtelefoons") te maken die bestaat uit een draadlus, deze in de audio-aansluiting steekt en hem als radioantenne laat werken.

Als je het zwakke elektrische "audio" -signaal opneemt dat in de draadlus wordt gegenereerd door de elektromagnetische straling waaraan het wordt blootgesteld, heb je een 48,000 Hz digitale reconstructie van de radiogolven die worden opgevangen terwijl je "antennefoon" was aangesloten.

Dus, met behulp van enkele slimme frequentiecoderingstechnieken om radioruis te construeren die uiteindelijk niet zomaar willekeurige ruis was, was Guri in staat om een verborgen, eenrichtingsdatakanaal te creëren met datasnelheden van 100 bits/sec tot 1000 bits/ sec, afhankelijk van het type apparaat waarop de code voor het aanpassen van de CPU-belasting werd uitgevoerd.

Desktop-pc's, ontdekte Guri, konden worden misleid om "geheime radiogolven" van de beste kwaliteit te produceren, met 500 bits/sec zonder fouten of 1000 bits/sec met een foutenpercentage van 1%.

Een Raspberry Pi 3 kon zonder fouten "verzenden" met 200 bits/sec, terwijl een Dell-laptop die in de test werd gebruikt 100 bits/sec beheerde.

We gaan ervan uit dat hoe dichter de circuits en componenten zich in een apparaat bevinden, hoe groter de interferentie met de verborgen radiosignalen die door de SMPS-circuits worden gegenereerd.

Guri suggereert ook dat de energiebeheercontroles die typisch worden gebruikt op computers van laptopklasse, voornamelijk gericht op het verlengen van de levensduur van de batterij, de mate verminderen waarin snelle veranderingen in de CPU-verwerkingsbelasting het schakelen van de SMPS beïnvloeden, waardoor de gegevensdragende capaciteit van de verborgen signaal.

Niettemin is 100 bits/sec voldoende om een 256-bits AES-sleutel in minder dan 3 seconden te stelen, een 4096-bits RSA-sleutel in ongeveer een minuut, of 1 MByte aan willekeurige gegevens in minder dan een dag.

Wat te doen?

Als u een beveiligd gebied beheert en u zich zorgen maakt over dit soort geheime exfiltratiekanalen:

Overweeg om radio-afscherming toe te voegen rond uw beveiligde gebied. Helaas kan dit voor grote laboratoria duur zijn, en meestal gaat het om dure isolatie van de voedingsbedrading van het laboratorium en om muren, vloeren en plafonds af te schermen met metalen gaas.
Overweeg om contrasurveillance radiosignalen te genereren. Het "jammen" van het radiospectrum in de frequentieband die gewone audiomicrofoons kunnen digitaliseren, zal dit soort aanvallen verminderen. Houd er echter rekening mee dat voor het storen van radio's mogelijk toestemming van de toezichthouders in uw land vereist is.
Overweeg om uw luchtspleet groter te maken dan 2 meter. Kijk naar uw plattegrond en houd rekening met wat zich naast het beveiligde lab bevindt. Laat personeel of bezoekers die in het onveilige deel van uw netwerk werken niet dichter dan 2 meter bij apparatuur binnenin komen, zelfs als er een muur in de weg staat.
Overweeg om willekeurige extra processen uit te voeren op beveiligde apparaten. Dit voegt onvoorspelbare radioruis toe bovenop de verborgen signalen, waardoor ze moeilijker te detecteren en te decoderen zijn. Zoals Guri echter opmerkt, vermindert het doen van dit "voor het geval dat" uw beschikbare verwerkingskracht de hele tijd, wat misschien niet acceptabel is.
Overweeg om uw CPU-frequentie te vergrendelen. Met sommige BIOS-setuptools kunt u dit doen, en het beperkt de hoeveelheid stroomschakeling die plaatsvindt. Echter, Guri gevonden dat dit eigenlijk alleen het bereik van de aanval beperkt en niet echt elimineert.

Natuurlijk, als je geen veilig gebied hebt om je zorgen over te maken...

…dan kun je gewoon genieten van dit verhaal, terwijl je bedenkt dat het het principe dat versterkt aanvallen worden alleen maar beter, en dus dat beveiliging is echt een reis, geen bestemming.

Tijdstempel: 13 december 202213 december 2022