La tecnica air-gap (letteralmente “vuoto d’aria) è un’efficiente misura di sicurezza che consiste nell’isolare fisicamente un computer, una rete privata e, più in generale, un’infrastruttura critica dal mondo esterno e soprattutto da Internet.
Finora era considerata una soluzione ottimale per proteggere le workstation utilizzate per l’archiviazione e l’elaborazione di dati riservati e sensibili.
Una ricerca condotta alla Ben-Gurion University di Negev, in Israele, ha invece dimostrato che un eventuale malintenzionato potrebbe violare un PC air-gapped ed esfiltrare i dati in esso archiviati sfruttando un canale ottico non visibile ad occhio nudo attivabile mediante una manipolazione della luminosità dello schermo.
Gli impercettibili cambiamenti nella luminosità, altrimenti invisibili all’uomo, possono infatti essere ripresi da telecamere di sicurezza o webcam compromesse installate nei locali in cui si trova il sistema air-gap.
I ricercatori israeliani hanno verificato la fattibilità di questa particolare tecnica di attacco, a distanze diverse, su diversi tipi di computer, TV e ricevitori per telecamere.
Indice degli argomenti
Rubare dati da PC air-gapped: anatomia di un attacco
Secondo i ricercatori israeliani bastano tre “semplici” passaggi per violare un PC air-gapped:
- Innanzitutto, il PC target deve essere preventivamente infettato da un malware, attraverso tecniche di ingegneria sociale o forme di APT: ciò è possibile, ad esempio, sfruttando una chiavetta USB o un’unità di archiviazione esterna compromesse, oppure avendo accesso diretto al PC air-gapped attraverso una “talpa” interna all’organizzazione target.
- Il malware raccoglie informazioni sensibili dal computer e codifica uno stream dati modulandolo sullo schermo tramite piccoli cambiamenti della sua luminosità.
- Una telecamera precedentemente compromessa riprende e registra il video del display del computer compromesso. Gli aggressori accedono quindi al flusso video registrato e ricostruiscono le informazioni sensibili usando tecniche di elaborazione di immagine.
Rubare dati da PC air-gapped: la comunicazione D2C
In una comunicazione display-to-camera (D2C), una telecamera viene utilizzata sia per riprese di scena sia per acquisire ed interpretare dati impercettibili. Uno stesso frame sullo schermo può presentare immagini visivamente percepibili che nascondono segnali impercettibili.
L’implementazione della comunicazione D2C deve fare però i conti contro alcuni effetti di disturbo insiti nella geometria degli obiettivi delle fotocamere come la distorsione ottica che possono essere risolti con una adeguata elaborazione di immagine, ma che possono inficiare sensibilmente le prestazioni di comunicazione in termini di bit-rate.
Come avviene la comunicazione dei dati
Negli schermi LCD ogni pixel presenta una combinazione di colori rosso, verde e blu (RGB) che produce nell’insieme il colore richiesto.
La modulazione consiste nel cambiare in modo impercettibile la componente di colore RGB di ogni pixel, tra una finestra temporale e l’altra imposta dalla frequenza di aggiornamento dello schermo.
In uno degli esperimenti, una sequenza di bit “1010101010101010” è stata esfiltrata da uno schermo da 19 pollici ad una velocità di 5 bit / sec (bitrate). I valori 1 e 0 sono stati trasmessi modulando in modalità ASK la luminosità della parte superiore e inferiore dello schermo target.
Le possibili contromisure
Le contromisure per questa tipologia di attacco, come evidenziato dagli stessi ricercatori, possono essere sia preventive sia di rilevamento:
- le contromisure preventive consistono nel controllare l’accessibilità dei computer collocandoli in zone protette e coprendo con pellicole polarizzate i relativi schermi, vietando inoltre qualsiasi tipo di videosorveglianza all’interno del perimetro delle aree riservate;
- le contromisure di rilevamento sono di più difficile attuazione e consistono nel prevedere un monitoraggio dei computer controllando eventuali anomalie sospette dei display, tramite funzionalità insite nei sistemi operativi delle workstation. Questo tipo di rilevamento, però, può essere eluso da eventuali azioni malware, oppure tramite acquisizione video diretta dello schermo del computer tramite apposite telecamere. C’è da dire, inoltre, che questo tipo di implementazione e la relativa manutenzione richiederebbe un oneroso impegno di risorse.
Conclusioni
La ricerca israeliana dimostra senza dubbio la fattibilità dell’attacco. La contaminazione della rete di destinazione potrebbe essere messa a segno attraverso una delle più serie forme di minaccia alla sicurezza informatica che è rappresentata dalla strategia di attacco APT, mentre l’acquisizione video dei monitor dei computer potrebbe essere eseguita da un insider o da un “visitatore” sfruttando una telecamera di sorveglianza.
Questa tecnica di attacco ottica, però, presenta anche un limite oggettivo. La velocità di trasmissione dati è estremamente bassa, dell’ordine dei 5-10 bit/sec. Questo vincolo consentirebbe di fatto solo una esfiltrazione di piccole quantità di dati (chiavi crittografiche, credenziali ecc.).
Non è da escludere, però, che i criminal hacker siano già all’opera per perfezionare la tecnica di attacco.
