RC3
Podczas wydarzenia Chaos Communication Congress, które odbyło się pod koniec zeszłego roku, badacz i miłośnik emisji drogą radiową Jacek Lipkowski zaprezentował wyniki swoich eksperymentów polegających na wydobyciu danych z sieci izolowanej za pomocą promieniowania elektromagnetycznego, jakie generuje sprzęt sieciowy. Prezentacja Lipkowskiego może być najnowsza, ale nie jest jedyna: nowe metody eksfiltracji informacji z komputerów i sieci oddzielonych szczeliną powietrzną są odkrywane z niepokojącą regularnością.
Każdy przewód może działać jak antena, a osoba atakująca, która zdołałaby przeniknąć do izolowanej sieci i uruchomić swój kod, teoretycznie mogłaby użyć takiej anteny do przesyłania danych do świata zewnętrznego — musiałaby tylko zmieniać promieniowanie za pomocą oprogramowania.
Lipkowski postanowił sprawdzić, czy można przesyłać dane w ten sposób za pomocą klasycznych sieci Ethernet.
Uwaga: w swoich eksperymentach badacz używał głównie komputera Raspberry Pi 4 model B, ale jest przekonany, że podobne efekty można osiągnąć przy użyciu innych urządzeń łączących się z siecią Ethernet — a przynajmniej za pomocą urządzeń wbudowanych. Do przesłania tych danych Lipkowski użył kodu Morse’a. Nie jest to najbardziej skuteczna metoda, ale jest łatwa w zastosowaniu; każdy amator częstotliwości radiowych może odebrać sygnał za pomocą radia, odsłuchać wiadomość i odszyfrować ją. Zastosowanie w tym przypadku kodu Morse’a doskonale uwidacznia wspomnianą lukę, którą autor nazwał Etherify.
Eksperyment nr 1: modulowanie częstotliwości
Współczesne kontrolery sieci Ethernet używają ustandaryzowanego interfejsu niezależnego od mediów (MII). Zapewnia on transmisję danych na różnych częstotliwościach w zależności od przepustowości: 2,5 MHz przy 10 Mb/s, 25 MHz przy 100 Mb/s i 125 MHz przy 1 Gb/s. Z kolei urządzenia sieciowe umożliwiają przełączanie pasm i wprowadzanie odpowiednich zmian w częstotliwości.
Częstotliwości, z jakimi przesyłane są dane generowane przez promieniowanie elektromagnetyczne przewodu, są jak „przełączniki biegów”, które mogą zostać użyte do modulacji sygnału. Sterowanie prędkością przesyłania danych przez kontroler sieciowy umożliwia zastosowanie prostego skryptu — na przykład takiego, w którym 10 Mb/s interferuje jak 0, a 100 Mb/s jak 1. W ten sposób generowane są kropki i kreski w kodzie Morse’a, które odbiornik radiowy może z łatwością odczytać z odległości nawet 100 metrów.
Eksperyment nr 2: przesyłanie danych
Przełączanie szybkości przesyłania danych to nie jedyny sposób modulowania sygnału. Można także wykorzystać różnic w promieniowaniu pochodzącym od działającego sprzętu sieciowego: na przykład szkodliwy program umieszczony na izolowanym komputerze może użyć standardowego narzędzia sieciowego do weryfikacji integralności połączenia (ping -f) w celu załadowania danych do kanału. Przerwy w przesyłaniu i wznowienia będą słyszalne z odległości nawet 30 metrów.
Eksperyment nr 3: nie potrzebujesz przewodu
Trzeci eksperyment nie był planowany, lecz jego wyniki okazały się interesujące. Podczas pierwszego testu Lipkowski zapomniał podłączyć kabel do urządzenia transmitującego, a mimo to słyszał zmianę częstotliwości transmisji danych z kontrolera z około 50 metrów. Oznacza to, że jeśli w izolowanym sprzęcie jest kontroler sieciowy, dane można transmitować — bez względu na to, czy jest on połączony z siecią. Dziś w większości płyt głównych znajduje się kontroler sieci Ethernet.
Dalsze eksperymenty
Ogólnie metodę przesyłania danych Air-Fi można odtworzyć na urządzeniach biurowych (laptopy, routery), choć efekty będą różne. Na przykład kontrolery sieciowe w laptopie, których użył Lipkowski do odtworzenia pierwszego eksperymentu, nawiązywały połączenie kilka sekund po każdej zmianie prędkości transmisji danych, co znacznie spowalniało przesyłanie danych za pomocą kodu Morse’a (mimo to badaczowi udało się przekazać prostą wiadomość). Ponadto maksymalna możliwa odległość od sprzętu zależy w dużej mierze od jego modelu. Lipkowski będzie nadal prowadził badania w tym zakresie.
Wnioski
W przeciwieństwie do popularnego przekonania, sieci izolowane za pomocą szczeliny powietrznej są używane nie tylko w tajnych laboratoriach i obiektach infrastruktury fizycznej, ale także w zwykłych firmach, które również używają izolowanych urządzeń takich jak sprzętowe moduły zabezpieczające (do zarządzania cyfrowymi kluczami, szyfrowania i deszyfrowania podpisów cyfrowych i innych celów kryptograficznych) czy specjalnie izolowanych stacji roboczych (jak np. lokalne urzędy certyfikacji). Jeśli w Twojej firmie jest stosowane takie podejście, pamiętaj o możliwości potencjalnego wycieku z systemu mimo zastosowania szczeliny powietrznej.
Lipkowski użył stosunkowo taniego odbiornika domowego USB, jednak hakerzy dysponują znacznie lepszymi zasobami, więc mogą zwiększyć zasięg odbioru.
Jeśli chodzi o praktyczne wskazówki dotyczące metody ochrony firmy przed takimi wyciekami, warto trzymać się klasycznych zasad:
- Stosuj podział na strefy i kontrolę na granicy obwodu. Im bliżej potencjalny atakujący będzie mógł zbliżyć się do pomieszczeń zawierających izolowane sieci lub urządzenia, tym bardziej prawdopodobne, że przechwyci sygnały.
- Każde pomieszczenie, w którym znajduje się najważniejszy sprzęt, oddziel za pomocą metalu, tworząc klatkę Faraday’a.
- Osłoń kable sieciowe. Chociaż w teorii nie jest to najlepsze rozwiązanie, w ten sposób znacząco zmniejszysz obszar, w którym możliwe jest rejestrowanie zmian w falach elektromagnetycznych. Takie podejście wraz z wydzieleniem stref może zapewnić wystarczający poziom ochrony.
- Zainstaluj rozwiązania służące do monitorowania podejrzanych procesów w systemach izolowanych. Zanim atakujący będą mogli przesyłać dane z komputera na zewnątrz, najpierw muszą go zainfekować. W ochronie systemów krytycznych przed szkodliwymi programami pomoże Ci specjalne oprogramowanie.
Porady