Cibercriminosos podem atacar dispositivos desconectados?

Mesmo se um computador estiver isolado fisicamente, dados podem ser roubados utilizando métodos muito inusitados.

Pensar em internet muitas vezes significa problemas. É por isso que uma das formas mais radicais de proteger um computador que armazena informações extremamente vulneráveis ou controlar um processo crítico é nunca o conectar à internet, ou talvez à rede nenhuma, mesmo uma local. Tal isolamento físico é conhecido como air gap.

Sem conexão, sem problemas, certo? Infelizmente, não é totalmente verdade – existem algumas artimanhas para extrair dados mesmo de um dispositivo isolado. Um grupo de pesquisadores da Universidade Israelense Ben-Gurion, liderados por Mordechai Guri, é especialista em tais métodos de roubo de dados. Vamos explicar o que eles descobriram e se você (e nós) devemos nos preocupar.

Como driblar o air gap

Que os sistemas físicos isolados – air gap – são vulneráveis não é novidade – ataques de supply chain e suborno de pessoas de dentro das organizações ainda são totalmente factíveis. O ataque mais simples utiliza um dispositivo USB infectado, por exemplo; foi assim que começou o lendário Stuxnet.

Ok, então o computador é infectado, mas como alguém pode extrair os dados sem uma conexão de internet?

É aí que a capacidade de inventar se encontra com a física. Um computador pode estar isolado fisicamente e não transmitir nenhum sinal por meio de redes, mas ele ainda gera calor, campos magnéticos e barulho. E por esses canais inusitados que alguém pode extrair informações

Ultrassom

Mesmo um computador sem alto-falantes ou equipamentos de áudio é capaz de produzir sons em uma frequência de 20 Hz–24 KHz (se, por exemplo, você mudar a frequência da fonte de energia). Além disso, mesmo um dispositivo sem um microfone separado pode ser bisbilhotado, porque caixas de som ou fones de ouvido podem ser manipulados para executar uma função. Uma porção significativa da frequência mencionada acima (18 KHz–24 KHz, para ser preciso) está fora dos limites de audição humana, possibilidade que pode ser usada de várias formas interessantes. Em casa, por exemplo, usar essa frequência pode ativar alto-falantes inteligentes.

Mais relevante ainda neste caso, alguém pode infectar um computador com um malware que codifica as informações de destino e as transmite por ultrassom. Por sua vez, esses dados são capturados por outro dispositivo infectado próximo (por exemplo, um smartphone) e transferido para o mundo exterior. Outros métodos que os pesquisadores descobriram exploram os sons emitidos pelos coolers de computadores e discos rígidos.

Eletromagnetismo

Não se esqueça do bom e velho eletromagnetismo. Uma corrente elétrica cria um campo eletromagnético que pode ser captado e convertido novamente em um sinal elétrico. Controlando a corrente, você pode controlar este campo. Munidos desse conhecimento, os invasores podem usar malware para enviar uma sequência de sinais para a tela e transformar o cabo do monitor em um tipo de antena. Ao manipular o número e a frequência dos bytes enviados, eles podem induzir emissões de rádio detectáveis ​​por um receptor de ondas FM. Este, senhoras e senhores, esse é o modus operandi por trás do AirHopper.

Outro método usa o malware GSMem para explorar as emissões do barramento de memória do computador. Semelhante ao AirHopper, o malware envia um certo conjunto de “zeros e uns” ao longo do barramento, causando variações em sua radiação eletromagnética. É possível codificar informações nessas variações e buscá-las usando um telefone celular comum operando na faixa de frequências GSM, UMTS ou LTE – mesmo um aparelho sem rádio FM embutido.

O princípio geral é simples: quase qualquer componente de computador pode ser uma antena. Outras pesquisas incluem métodos para transmitir dados usando radiação do barramento USB, interface GPIO e cabos de energia.

Magnetismo

Uma característica particular dos métodos baseados em ímãs é que, em alguns casos, eles podem funcionar em uma gaiola de Faraday, que bloqueia a radiação eletromagnética e, portanto, é considerada uma proteção muito confiável.

O uso do magnetismo para extração explora a radiação magnética de alta frequência gerada pelas CPUs e que penetra no invólucro de metal. Essa radiação, por exemplo, é basicamente o motivo pelo qual uma bússola funciona dentro de uma gaiola de Faraday. Os pesquisadores descobriram que, manipulando a carga nos núcleos de um processador por meio de software, eles foram capazes de controlar sua radiação magnética. Eles apenas tiveram que colocar um dispositivo receptor perto da gaiola – a equipe de Guri relatou um alcance de 1,5 metro, ou cerca de 5 pés. Para receber as informações, os pesquisadores usaram um sensor magnético conectado à porta serial de um computador próximo.

 Óptica

Todos os computadores, mesmo aqueles com isolados fisicamente, têm LEDs e, controlando sua oscilação, novamente por meio de um malware, um invasor pode extrair segredos de uma máquina isolada.

Esses dados podem ser capturados, por exemplo, invadindo uma câmera de vigilância na sala. É assim que o LED-it-GO e o xLED funcionam, por exemplo. Quanto ao aIR-Jumper, bem, as câmeras podem funcionar como mecanismos de infiltração e extração; elas são capazes de emitir e capturar radiação infravermelha, invisível ao olho humano.

Termodinâmica

Outro canal inesperado para transmitir dados de um sistema isolado fisicamente é o calor. O ar dentro de um computador é aquecido pela CPU, placa de vídeo, disco rígido e vários dispositivos periféricos (seria mais fácil listar as partes que não geram calor). Os computadores também possuem sensores de temperatura embutidos para garantir a manutenção da temperatura.

Se um computador em air gap for instruído por malware para alterar sua temperatura, uma segunda máquina (online) poderá registrar as alterações, convertê-las em informações inteligíveis e enviar os dados. Para que os computadores possam se comunicar por sinais térmicos, eles devem estar bem próximos – aproximadamente 40 centímetros, ou cerca de 16 polegadas, um do outro. Um exemplo usando esse método é o BitWhisper.

Ondas sísmicas

A vibração é o último tipo de radiação transmissora de dados que os pesquisadores investigaram. O malware manipula novamente a velocidade dos ventiladores do computador, mas, nesse caso, codifica as informações de destino em vibrações, não em sons. Um aplicativo acelerômetro em um smartphone, condicionado na mesma superfície que o computador, captura as ondas.

A desvantagem desse método é a velocidade muito baixa de transferência de dados confiável – cerca de 0,5 bps. Portanto, a transferência de apenas alguns kilobytes pode levar alguns dias. No entanto, se o invasor não tiver pressa, o método é perfeitamente factível.

É preciso se preocupar?

Primeiro, algumas boas notícias: os métodos de roubo de dados que listamos acima são muito complexos, por isso é improvável que alguém os use para capturar suas declarações financeiras ou banco de dados de clientes. No entanto, se os dados com os quais trabalha são de interesse potencial para agências de inteligência estrangeiras ou espiões industriais, você deve pelo menos estar ciente do perigo.

Mantenha-se protegido

Uma maneira simples, mas eficaz, de impedir o roubo de informações classificadas é proibir todos os dispositivos estranhos, incluindo qualquer tipo de telefone celular, nas instalações da empresa. Se não puder, ou se desejar medidas de segurança adicionais, considere o seguinte:

  • Divida as instalações que contêm computadores em air gap e mantenha uma distância entre os dispositivos (um distanciamento social para tecnologia, pode-se dizer);
  • Proteja as instalações ou coloque o computador dentro de uma gaiola de Faraday (Mas antes, consulte a seção sobre Magnetismo acima);
  • Realize suas próprias medições de radiação magnética do computador e observe anomalias;
  • Limite ou proíba o uso de alto-falantes;
  • Desative todos os equipamentos de áudio do computador;
  • Crie interferência sonora nas instalações com o computador em air gap;
  • Limite a funcionalidade de infravermelho das câmeras de vigilância (que infelizmente reduzirá sua eficácia no escuro);
  • Reduza a visibilidade do LED (tape, desconecte e desmonte);
  • Desative as portas USB no computador isolado para evitar infecção.

Além disso, os pesquisadores observam que, em quase todos os casos, uma melhor proteção no nível do software melhora o nível de isolamento. Em outras palavras, certifique-se de instalar soluções de segurança confiáveis para detectar atividades maliciosas. Se uma máquina isolada for usada para tarefas padrão (um cenário bastante comum no caso de computadores em air gap), alterne o sistema de proteção para o modo Negação padrão, que bloqueia automaticamente a execução de programas ou processos inesperados.

Dicas