COVID-bit: o truque do spyware sem fio com um nome infeliz

Se você é um leitor regular do Naked Security, provavelmente pode adivinhar para onde estamos indo nesta jornada virtual….

…estamos mais uma vez no Departamento de Engenharia de Software e Sistemas de Informação da Universidade Ben-Gurion de Negev, em Israel.

Pesquisadores do Centro de Pesquisa de Segurança Cibernética do departamento investigam regularmente questões de segurança relacionadas aos chamados com intervalo de ar redes.

Como o nome sugere, uma rede airgapped é deliberadamente desconectada não apenas da internet, mas também de qualquer outra rede, mesmo aquelas na mesma instalação.

Para criar uma área segura de processamento de dados de alta segurança (ou, mais precisamente, qualquer área de maior segurança do que seus vizinhos, onde os dados não podem sair facilmente), nenhum fio físico é conectado da rede airgapped a qualquer outra rede .

Além disso, todo o hardware de comunicação sem fio é normalmente desabilitado (e, de preferência, removido fisicamente, se possível, ou desconectado permanentemente cortando fios ou traços da placa de circuito, se não).

A ideia é criar um ambiente onde mesmo que invasores ou insiders insatisfeitos consigam injetar códigos maliciosos como spyware para dentro o sistema, eles não achariam fácil, ou mesmo possível, recuperar seus dados roubados Fora novamente.

É mais difícil do que parece

Infelizmente, criar uma rede airgapped utilizável sem “lacunas de dados” externas é mais difícil do que parece, e os pesquisadores da Universidade Ben-Gurion descreveram vários truques viáveis, juntamente com como você pode mitigá-los, no passado.

Já escrevemos, reconhecidamente com uma mistura de fascínio e prazer, sobre o trabalho deles em muitas ocasiões, incluindo truques malucos como GAIROSCÓPIO (transformando o chip da bússola de um celular em um microfone tosco), LANTENA (usando cabos de rede com fio como antenas de rádio) e o FÃS TRANSMISSOR (variando a velocidade do ventilador da CPU alterando a carga do sistema para criar um “canal de dados” de áudio).

Desta vez, os pesquisadores deram ao seu novo truque o nome infeliz e talvez desnecessariamente confuso. COVID-bit, Onde COV é explicitamente listado como significando "encoberto", e nos resta adivinhar que bit de identificação significa algo como “divulgação de informações, bit a bit”.

Esse esquema de exfiltração de dados usa a fonte de alimentação do próprio computador como fonte de transmissões de rádio não autorizadas, porém detectáveis ​​e decodificáveis.

Os pesquisadores afirmam taxas de transmissão de dados secretas de até 1000 bits/s (que era uma velocidade de modem dial-up perfeitamente útil e utilizável 40 anos atrás).

Eles também afirmam que os dados vazados podem ser recebidos por um telefone celular não modificado e de aparência inocente – mesmo um com todo o seu próprio hardware sem fio desligado – a até 2 metros de distância.

Isso significa que cúmplices fora de um laboratório seguro podem ser capazes de usar esse truque para receber dados roubados sem suspeitar, supondo que as paredes do laboratório não estejam suficientemente protegidas contra vazamento de rádio.

Então, aqui está como COVID-bit obras.

Gerenciamento de energia como um canal de dados

As CPUs modernas geralmente variam sua tensão e frequência de operação para se adaptar à mudança de carga, reduzindo assim o consumo de energia e ajudando a evitar o superaquecimento.

De fato, alguns laptops controlam a temperatura da CPU sem precisar de ventiladores, desacelerando deliberadamente o processador se ele começar a esquentar demais, ajustando a frequência e a voltagem para reduzir o desperdício de calor ao custo de um desempenho inferior. (Se você já se perguntou por que seus novos kernels Linux parecem construir mais rápido no inverno, pode ser por isso.)

Eles podem fazer isso graças a um dispositivo eletrônico simples conhecido como SMPS, abreviação de fonte de alimentação de modo comutado.

Os SMPSs não usam transformadores e resistências variáveis ​​para variar sua tensão de saída, como os adaptadores de energia antiquados, volumosos, ineficientes e barulhentos faziam antigamente.

Em vez disso, eles pegam uma tensão de entrada constante e a convertem em uma onda quadrada CC pura usando um transistor de comutação rápida para ligar e desligar completamente a tensão, de centenas de milhares a milhões de vezes por segundo.

Componentes elétricos bastante simples transformam esse sinal CC fragmentado em uma tensão estável que é proporcional à relação entre quanto tempo os estágios “ligados” e os estágios “desligados” estão na onda quadrada comutada de forma limpa.

Falando vagamente, imagine uma entrada de 12 Vcc que é totalmente ligada por 1/500,000 de segundo e depois totalmente desligada por 1/250,000 de segundo, repetidamente, de modo que esteja em 12 V por 1/3 do tempo e em 0V para 2/3 dele. Em seguida, imagine essa onda quadrada elétrica sendo “suavizada” por um indutor, um diodo e um capacitor em uma saída CC contínua a 1/3 do nível de entrada de pico, produzindo assim uma saída quase perfeitamente estável de 4V.

Como você pode imaginar, essa comutação e suavização envolve mudanças rápidas de corrente e tensão dentro do SMPS, que por sua vez criam campos eletromagnéticos modestos (simplesmente, ondas de rádio) que vazam pelos condutores metálicos do próprio aparelho, como rastros condutores de placas de circuito e fiação de cobre.

E onde houver vazamento eletromagnético, você pode ter certeza de que os pesquisadores da Universidade Ben-Gurion estarão procurando maneiras de usá-lo como um possível mecanismo secreto de sinalização.

Mas como você pode usar o ruído de rádio de um SMPS comutando milhões de vezes por segundo para transmitir algo além de ruído?

Mude a taxa de comutação

O truque, segundo um Denunciar escrito pelo pesquisador Mordechai Guri, é variar a carga na CPU repentina e drasticamente, mas em uma frequência muito menor, alterando deliberadamente o código em execução em cada núcleo da CPU entre 5000 e 8000 vezes por segundo.

Ao criar um padrão sistemático de mudanças na carga do processador nessas frequências comparativamente baixas…

…Guri foi capaz de enganar o SMPS em comutando suas taxas de comutação de alta frequência de forma que gerasse padrões de rádio de baixa frequência que pudessem ser detectados e decodificados com segurança.

Melhor ainda, dado que seu “pseudo-ruído” eletromagnético gerado deliberadamente apareceu entre 0 Hz e 60 kHz, ele se mostrou bem alinhado com as habilidades de amostragem do chip de áudio médio de laptop ou telefone celular, usado para digitalizar voz e reproduzir música.

(A frase chip de áudio acima não é um erro de digitação, embora estejamos falando de ondas de rádio, como você verá em breve.)

O ouvido humano, por acaso, pode ouvir frequências de até cerca de 20 kHz, e você precisa produzir saída ou entrada de registro pelo menos duas vezes essa taxa para detectar oscilações de som de forma confiável e, assim, reproduzir altas frequências como ondas sonoras viáveis, em vez de apenas picos ou “linhas retas” no estilo DC.

Taxas de amostragem de CD (discos compactos, se você se lembra deles) foram definidos em 44,100 Hz por esse motivo, e DAT (fita de áudio digital) seguido logo depois, com base em uma taxa semelhante, mas ligeiramente diferente de 48,000 Hz.

Como resultado, quase todos os dispositivos de áudio digital em uso atualmente, incluindo fones de ouvido, telefones celulares e microfones de podcasting, suportam uma taxa de gravação de 48,000 Hz. (Alguns microfones sofisticados vão mais alto, dobrando, redobrando e até mesmo multiplicando essa taxa até 384kHz, mas 48kHz é uma taxa na qual você pode assumir que quase qualquer dispositivo de áudio digital contemporâneo, mesmo o mais barato que você pode encontrar, será capaz de registro.)

Onde o áudio encontra o rádio

Os microfones tradicionais convertem a pressão sonora física em sinais elétricos, portanto, a maioria das pessoas não associa o conector de áudio do laptop ou do celular à radiação eletromagnética.

Mas você pode converter o seu celular auditivo circuitos em um circuito de baixa qualidade, baixa frequência e baixa potência rádio receptor ou transmissor...

…simplesmente criando um “microfone” (ou um par de “fones de ouvido”) que consiste em um loop de fio, conectando-o ao conector de áudio e deixando-o atuar como uma antena de rádio.

Se você gravar o fraco sinal de “áudio” elétrico que é gerado no loop de fio pela radiação eletromagnética à qual está exposto, você terá uma reconstrução digital de 48,000 Hz das ondas de rádio captadas enquanto seu “antenafone” estava conectado.

Então, usando algumas técnicas inteligentes de codificação de frequência para construir “ruído” de rádio que não era apenas ruído aleatório afinal, Guri foi capaz de criar um canal de dados oculto e unidirecional com taxas de dados variando de 100 bits/s a 1000 bits/s. segundo, dependendo do tipo de dispositivo no qual o código de ajuste de carga da CPU estava sendo executado.

Os PCs de mesa, descobriu Guri, podem ser enganados para produzir “ondas de rádio secretas” da melhor qualidade, fornecendo 500 bits/s sem erros ou 1000 bits/s com uma taxa de erro de 1%.

Um Raspberry Pi 3 pode “transmitir” a 200 bits/s sem erros, enquanto um laptop Dell usado no teste conseguiu 100 bits/s.

Estamos assumindo que quanto mais compactados os circuitos e os componentes estiverem dentro de um dispositivo, maior será a interferência com os sinais de rádio ocultos gerados pelo circuito SMPS.

Guri também sugere que os controles de gerenciamento de energia normalmente usados ​​em computadores laptop, visando principalmente prolongar a vida útil da bateria, reduzem a extensão em que alterações rápidas na carga de processamento da CPU afetam a comutação do SMPS, reduzindo assim a capacidade de transporte de dados do sinal secreto.

No entanto, 100 bits/s são suficientes para roubar uma chave AES de 256 bits em menos de 3 segundos, uma chave RSA de 4096 bits em cerca de um minuto ou 1 MByte de dados arbitrários em menos de um dia.

O que fazer?

Se você administra uma área segura e está preocupado com canais de exfiltração secretos desse tipo:

• Considere adicionar blindagem de rádio em torno de sua área segura. Infelizmente, para grandes laboratórios, isso pode ser caro e normalmente envolve isolamento caro da fiação da fonte de alimentação do laboratório, bem como blindagem de paredes, pisos e tetos com malha metálica.
• Considere gerar sinais de rádio de contra-vigilância. “Interromper” o espectro de rádio na faixa de frequência que os microfones de áudio comuns podem digitalizar atenuará esse tipo de ataque. Observe, no entanto, que o bloqueio de rádio pode exigir permissão dos reguladores do seu país.
• Considere aumentar o espaço de ar acima de 2 metros. Observe a planta baixa e leve em consideração o que há ao lado do laboratório seguro. Não deixe que funcionários ou visitantes que trabalham na parte insegura de sua rede cheguem a menos de 2 m do equipamento interno, mesmo que haja uma parede no caminho.
• Considere executar processos extras aleatórios em dispositivos seguros. Isso adiciona ruído de rádio imprevisível aos sinais ocultos, tornando-os mais difíceis de detectar e decodificar. Como observa Guri, no entanto, fazer isso “por via das dúvidas” reduz o poder de processamento disponível o tempo todo, o que pode não ser aceitável.
• Considere bloquear a frequência da CPU. Algumas ferramentas de configuração do BIOS permitem que você faça isso e limita a quantidade de troca de energia que ocorre. No entanto, Guri encontrado que isso realmente apenas limita o alcance do ataque e não o elimina.

Claro, se você não tem uma área segura para se preocupar…

…então você pode simplesmente curtir esta história, lembrando que ela reforça o princípio de que os ataques só ficam melhores, e assim que a segurança é realmente uma jornada, não um destino.

---