Nel campo della sicurezza informatica, i computer “air-gapped” sono considerati tra i più sicuri. Questi sistemi sono fisicamente isolati da reti esterne, inclusa Internet, per prevenire qualsiasi forma di comunicazione diretta o remota con altri dispositivi.
Tuttavia, il documento pubblicato dal ricercatore Mordechai Guri della Ben-Gurion University of the Negev introduce un nuovo metodo per violare questa sicurezza, utilizzando segnali radio generati dalla RAM del computer.
Questo ultimo metodo si aggiunge a quelli già esposti in passato dall’esperto di canali air-gap covert.
“Quando i dati vengono trasferiti tramite un bus RAM, ciò comporta rapidi cambiamenti di tensione e corrente, principalmente nel bus dati. Queste transizioni di tensione creano campi elettromagnetici, che possono irradiare energia elettromagnetica tramite interferenza elettromagnetica (EMI) o interferenza a radiofrequenza (RFI)”, scrive Guri nella sua ricerca: “Per creare un canale EM nascosto, il trasmettitore deve modulare i modelli di accesso alla memoria in un modo che corrisponda ai dati binari”.
Fonte: Mordechai Guri.
Indice degli argomenti
Il metodo di attacco RAMBO
Il metodo RAMBO (Radio Memory Bus Oscillation) implementa un algoritmo capace di generare segnali radio dai bus di memoria (RAM) di un computer compromesso che trasmettono informazioni sensibili come file, immagini, dati biometrici e chiavi di cifratura.
Utilizzando un ricevitore radio (software-defined radio, SDR) e una semplice antenna, un attaccante remoto può intercettare questi segnali a distanza e decodificarli in informazioni binarie originari.
In particolare:
- Il malware installato sul computer compromesso manipola i bus di memoria per generare oscillazioni elettromagnetiche. Queste oscillazioni vengono modulate per codificare i dati sensibili. Il segnale viene generato con una modulazione digitale OOK (On-Off Keying).
- I segnali radio generati vengono successivamente trasmessi nell’ambiente circostante utilizzando la codifica Manchester e intercettati da un ricevitore SDR, posizionato nelle vicinanze.
- I segnali intercettati vengono decodificati da un algoritmo di decodifica implementato, traducendoli nuovamente in dati binari comprensibili. Di seguito si riportano come esempio i dati sperimentali dello spettrogramma e la forma d’onda della parola “DATA” nella codifica Manchester e nella modulazione OOK.
Fonte: Mordechai Guri.
Risultati e valutazione
Questo metodo è stato testato in vari scenari, dimostrando la sua efficacia nel rubare da PC air-gapped informazioni relativamente brevi in un breve periodo: il keylogging può essere eseguito in tempo reale, esfiltrare una password (128 bit) richiede 1,28 secondi mentre una chiave RSA (4096 bit) richiede 4,96 secondi.
Inoltre, una trasmissione viene mantenuta a una distanza di 700 cm con una velocità di trasmissione lenta (10 ms), a 450 cm con una velocità di trasmissione media (5 ms) e 300 cm con una velocità di trasmissione alta (1 ms).
La ricerca ha anche sperimentato che per avere un buon rapporto SNR la velocità di trasmissione non deve superare 5.000 bit per secondo.
Fonte: Mordechai Guri.
Contromisure
Il metodo RAMBO rappresenta una nuova tecnica di attacco contro i sistemi air-gapped. Sebbene queste tecniche siano complesse e richiedano conoscenze avanzate, dimostrano che nessun sistema è completamente sicuro.
Come documentato già in passato questi sistemi possono comunque essere infettati da attacchi alla supply chain, da insider (o dipendenti inconsapevoli) tramite supporti fisici infetti.
In questo contesto è essenziale continuare a sviluppare e implementare contromisure per proteggere le informazioni sensibili da queste minacce emergenti.
Guri propone diverse contromisure per accrescere la sicurezza dei sistemi isolati tra cui utilizzare materiali schermanti per bloccare le emissioni elettromagnetiche (Schermatura Faraday), interferire o interrompere le comunicazioni wireless tramite jammer in radio frequenza, implementare sistemi di monitoraggio radio esterno per rilevare attività sospette.
