COVID-bit

NEUESTE ARTIKEL

COVID-Bit Angriff

Blog icon verfasst durch XCell Technologies
Calendar icon

Publiziert am 14. Dezember 2022

Der Trick mit der drahtlosen Spyware und ihrem unglücklichen Namen

Wenn Sie zu unseren regelmäßigen Lesern gehören, können Sie wahrscheinlich erraten, wohin uns diese virtuelle Reise führt… ….

… wir sind wieder einmal unterwegs zum Fachbereich Software- und Informationssystemtechnik an der Ben-Gurion Universität des Negev in Israel.
Die Forscherinnen und Forscher des Forschungszentrums für Cybersicherheit der Fakultät beschäftigen sich regelmäßig mit Sicherheitsfragen im Zusammenhang mit so genannten “Airgapped”-Netzwerken.
Wie der Name schon sagt, ist ein Airgapped-Netzwerk absichtlich nicht nur vom Internet getrennt, sondern auch von allen anderen Netzwerken – selbst von denen, die sich in der gleichen Einrichtung befinden.
Zur Schaffung eines sicheren Hochsicherheitsbereichs für die Verarbeitung von Daten (oder genauer: eines Bereichs, der sicherer ist als seine Nachbarn und in dem Daten nicht so leicht nach außen gelangen können) werden keine physischen Kabel zwischen dem Airgapped-Netzwerk und einem anderen Netzwerk angeschlossen.
Darüber hinaus wird in der Regel die gesamte drahtlose Kommunikationshardware deaktiviert (und idealerweise physisch entfernt, wenn dies möglich ist). Wenn dies nicht möglich ist, werden die Kabel oder Leiterbahnen dauerhaft getrennt.
Ziel ist die Schaffung einer Umgebung, in der es für Angreifer oder unzufriedene Insider selbst dann, wenn sie in der Lage wären, bösartigen Code wie z. B. Spyware in das System einzuschleusen, nicht einfach oder gar unmöglich wäre, die gestohlenen Daten wieder zu erlangen.

Schwieriger als es klingt

Leider ist es schwieriger, ein brauchbares Airgapped-Netzwerk ohne externe “Datenschlupflöcher” aufzubauen, als es sich anhört. Die Forscher der Ben-Gurion-Universität haben in der Vergangenheit viele praktikable Tricks beschrieben und gezeigt, wie man diese entschärfen kann.

Wir haben – zugegebenermaßen mit einer Mischung aus Faszination und Vergnügen – schon mehrfach über ihre Arbeit berichtet, darunter so verrückte Tricks wie das GAIROSCOPE (der Kompass-Chip eines Handys wird zu einem einfachen Mikrofon), die LANTENNA (festverdrahtete Netzwerkkabel werden als Funkantennen genutzt) und den FANSMITTER (die Drehzahl des CPU-Lüfters wird durch die Änderung der Systemlast verändert, um einen Audio-“Datenkanal” zu erzeugen).

Diesmal haben die Forscher ihrem neuen Trick den unglücklichen und vielleicht unnötig verwirrenden Namen COVID-bit gegeben, wobei COV explizit für “hidden” steht. Wir vermuten, dass ID-bit für “information disclosure, bit-by-bit” steht.
Bei dieser Methode der Datenexfiltration wird die eigene Stromversorgung eines Computers als Quelle für nicht autorisierte Funkübertragungen genutzt, die aber dennoch erkannt und dekodiert werden können.
Die Forscher behaupten, dass versteckte Datenübertragungsraten von bis zu 1000 Bit/s möglich sind. (Dies war vor 40 Jahren eine durchaus brauchbare und nutzbare Modemgeschwindigkeit.)
Sie behaupten auch, dass die durchgesickerten Daten von einem unveränderten, unschuldig aussehenden Mobiltelefon – sogar von einem, bei dem die gesamte Drahtloshardware ausgeschaltet ist – in bis zu 2 Metern Entfernung empfangen werden können.
Das bedeutet, dass Komplizen außerhalb eines gesicherten Labors diesen Trick anwenden könnten, um unbemerkt gestohlene Daten zu empfangen. Voraussetzung ist, dass die Wände des Labors nicht gut genug gegen Funkwellen abgeschirmt sind.

Und so funktioniert das COVID-Bit.

Energiemanagement als Datenkanal

Moderne CPUs variieren in der Regel ihre Betriebsspannung und -frequenz, um sich an die wechselnde Last anzupassen. Auf diese Weise wird der Stromverbrauch gesenkt und eine Überhitzung vermieden.

Einige Laptops regeln die CPU-Temperatur sogar ohne Lüfter. Sie verlangsamen den Prozessor absichtlich, wenn er zu heiß wird, und passen sowohl die Frequenz als auch die Spannung an, um die Abwärme auf Kosten der Leistung zu reduzieren. (Wenn Sie sich jemals gewundert haben, warum Ihr Linux-Kernel im Winter schneller läuft, könnte das der Grund sein.)

Möglich wird dies durch ein ausgeklügeltes elektronisches Gerät, ein sogenanntes SMPS, kurz für Switched Mode Power Supply.

Schaltnetzteile verwenden keine Transformatoren und variablen Widerstände, wie es bei den altmodischen, sperrigen, ineffizienten und brummenden Netzteilen der Fall war, um die Ausgangsspannung zu variieren.

Stattdessen wandeln sie eine konstante Eingangsspannung in eine saubere Gleichstrom-Rechteckwelle um. Dazu verwenden sie einen schnell schaltenden Transistor, der die Spannung Hunderttausende bis Millionen Mal pro Sekunde komplett ein- und ausschaltet.

Dieses zerhackte Gleichstromsignal wird dann mit relativ einfachen elektrischen Bauteilen in eine konstante Spannung umgewandelt. Diese Spannung ist proportional zum Verhältnis der Dauer der Ein- und Ausschaltphasen der sauber geschalteten Rechteckwelle.

Wie man sich vorstellen kann, ist dieses Schalten und Glätten mit schnellen Strom- und Spannungsänderungen im Inneren des Netzteils verbunden. Dabei entstehen elektromagnetische Felder (einfach ausgedrückt: Radiowellen), die über die metallischen Leiter im Gerät, z.B. Leiterbahnen auf der Leiterplatte und Kupferkabel, austreten. 

Und wo es elektromagnetische Lecks gibt, können Sie sicher sein: Die Forscher der Ben-Gurion-Universität suchen nach Möglichkeiten, sie als geheimen Signalmechanismus zu nutzen. Aber wie kann man das Funkrauschen einer Stromversorgung, die eine Million Mal pro Sekunde schaltet, nutzen, um etwas anderes als Rauschen zu übertragen?

Schalthäufigkeit ändern

Einem Bericht des Forschers Mordechai Guri zufolge besteht der Trick in der plötzlichen und drastischen Änderung der Prozessorauslastung, jedoch bei einer viel niedrigeren Frequenz, und zwar durch die absichtliche Änderung des Codes, der auf jedem CPU-Kern ausgeführt wird, und zwar zwischen 5.000 und 8.000 Mal pro Sekunde.
Durch die Schaffung eines systematischen Musters der Änderung der Prozessorauslastung bei diesen vergleichsweise niedrigen Frequenzen…

…gelang es Guri, das Schaltnetzteil dazu zu bringen, seine Schaltraten bei hohen Frequenzen so zu verändern, dass es Funkmuster bei niedrigen Frequenzen erzeugte, die zuverlässig erkannt und entschlüsselt werden konnten.
Mehr noch: Da sein absichtlich erzeugtes elektromagnetisches “Pseudo-Rauschen” zwischen 0 Hz und 60 kHz auftrat, stellte sich heraus, dass es gut mit den Abtastfähigkeiten eines durchschnittlichen Laptop- oder Handy-Audiochips übereinstimmte, der für die Digitalisierung von Sprache und die Wiedergabe von Musik verwendet wird.
(Wie Sie gleich sehen werden, ist der Begriff “Audiochip” kein Tippfehler, auch wenn es sich um Radiowellen handelt.)

Das menschliche Ohr kann Frequenzen bis etwa 20 kHz hören. Um Schallschwingungen zuverlässig zu erkennen und damit hohe Frequenzen als echte Schallwellen und nicht nur als Spikes oder DC-artige “Geraden” wiederzugeben, muss mindestens die doppelte Rate ausgegeben oder aufgenommen werden.
Aus diesem Grund wurde die Abtastrate von CDs (Compact Discs, falls Sie sich erinnern) auf 44.100 Hz festgelegt, und DAT (Digital Audio Tape) folgte bald darauf mit einer ähnlichen, aber etwas anderen Rate von 48.000 Hz.

Das bedeutet, dass die meisten digitalen Audiogeräte, die heutzutage verwendet werden, eine Abtastrate von 48.000 Hz unterstützen. Dies gilt auch für Kopfhörer, Mobiltelefone und Podcasting-Mikrofone. (Einige ausgefallene Mikrofone gehen sogar noch weiter und verdoppeln, und vervielfachen diese Rate auf bis zu 384 kHz. Aber 48 kHz ist eine Rate, bei der Sie davon ausgehen können, dass fast jedes moderne digitale Audiogerät, selbst das billigste, das Sie finden können, aufzeichnen kann.)

Wo Audio und Funk zusammentreffen

Herkömmliche Mikrofone wandeln physikalischen Schalldruck in elektrische Signale um. Die meisten Menschen verbinden daher die Audiobuchse ihres Laptops oder Mobiltelefons nicht mit elektromagnetischer Strahlung.
Sie können jedoch den Audioschaltkreis Ihres Mobiltelefons in einen Radioempfänger oder -sender mit niedriger Qualität, niedriger Frequenz und niedriger Leistung verwandeln…

… indem Sie einfach ein “Mikrofon” (oder “Kopfhörer”) aus einer Drahtschleife basteln. Stecken Sie es in die Audio-Buchse und lassen Sie es als Radioantenne fungieren.
Zeichnet man das schwache elektrische “Audiosignal” auf, das in der Drahtschleife durch die elektromagnetische Strahlung entsteht, der sie ausgesetzt ist, erhält man eine digitale Rekonstruktion der Radiowellen mit 48.000 Hz, die man empfing, als das “Antennaphon” angeschlossen war.
Mit Hilfe einiger ausgeklügelter Frequenzkodierungstechniken konnte Guri ein Funk-“Rauschen” erzeugen, das nicht nur zufälliges Rauschen war. So gelang es ihm, einen versteckten Einweg-Datenkanal mit Datenraten von 100 bis 1000 Bits pro Sekunde zu schaffen, je nach Art des Geräts, auf dem der Code ausgeführt wurde, der die CPU-Last erhöhte.

Guri hat herausgefunden, dass Desktop-PCs dazu gebracht werden können, “geheime Radiowellen” von höchster Qualität zu erzeugen. Sie können 500 Bits/Sekunde ohne Fehler oder 1000 Bits/Sekunde mit einer Fehlerrate von 1 % liefern.
Ein Raspberry Pi 3 konnte mit 200 Bit/s fehlerfrei “senden”. Ein Dell-Laptop, der im Test verwendet wurde, schaffte 100 Bit/s.
Wir vermuten: Je dichter die Schaltkreise und Komponenten in einem Gerät gepackt sind, desto stärker sind die Interferenzen mit den versteckten Funksignalen, die von der SMPS-Schaltung erzeugt werden.

Guri vermutet auch, dass das in Laptops übliche Power-Management, das in erster Linie die Akkulaufzeit verlängern soll, den Einfluss von schnellen Änderungen der CPU-Last auf das Schalten des Schaltnetzteils verringert. Dadurch wird die Datenübertragungskapazität des verborgenen Signals reduziert.
Dennoch sind 100 Bits/Sekunde ausreichend für den Diebstahl eines 256-Bit-AES-Schlüssels in weniger als 3 Sekunden, eines 4096-Bit-RSA-Schlüssels in etwa einer Minute oder 1 MByte beliebiger Daten in weniger als einem Tag.

Was soll ich tun?

Wenn Sie einen Sicherheitsbereich betreiben und sich Sorgen über solche versteckten Exfiltrationskanäle machen:

  • Ziehen Sie eine Abschirmung der Strahlung rund um Ihren Sicherheitsbereich in Betracht. Leider kann dies bei großen Laboratorien kostspielig sein und erfordert in der Regel eine kostspielige Isolierung der elektrischen Versorgungsleitungen des Laboratoriums sowie die Abschirmung von Wänden, Böden und Decken mit Metallgewebe.
  • Erwägen Sie die Erzeugung von Funksignalen zur Gegenüberwachung. Das “Stören” des Funkspektrums in dem Frequenzband, in dem herkömmliche Audiomikrofone digitalisieren können, ist eine Möglichkeit zur Abschwächung dieser Art von Angriff. Beachten Sie jedoch, dass für die Störung von Funksignalen unter Umständen eine Genehmigung durch die Aufsichtsbehörden in Ihrem Land erforderlich ist.
  • Erwägen Sie die Vergrößerung des Luftspaltes auf mehr als 2 Meter. Schauen Sie sich Ihren Grundriss an. Berücksichtigen Sie, was sich neben dem sicheren Labor befindet. Lassen Sie Mitarbeiter oder Besucher, die im unsicheren Teil Ihres Netzwerks arbeiten, nicht näher als 2 m an die Geräte im Inneren heran. Dies gilt selbst dann, wenn eine Wand im Weg ist.
  • Erwägen Sie, zusätzliche zufällige Prozesse auf sicheren Geräten laufen zu lassen. Dadurch wird den versteckten Signalen ein unvorhersehbares Rauschen hinzugefügt. Dadurch wird es schwieriger, die Signale zu erkennen und zu entschlüsseln. Wie Guri anmerkt, wird dadurch jedoch die verfügbare Verarbeitungsleistung “nur für den Fall der Fälle” ständig reduziert, was möglicherweise nicht akzeptabel ist.
  • Erwägen Sie, die CPU-Frequenz zu sperren. Diese Möglichkeit wird von einigen BIOS-Setup-Tools angeboten und begrenzt die Anzahl der Leistungsumschaltungen, die stattfinden. Guri hat jedoch herausgefunden, dass auf diese Weise nur die Reichweite des Angriffs eingeschränkt wird, der Angriff aber nicht wirklich verhindert wird.

Wenn Sie sich natürlich keine Sorgen um Ihre Sicherheit machen müssen…

… dann können Sie diese Geschichte einfach genießen und sich daran erinnern, dass sie den Grundsatz bestätigt, dass Angriffe immer besser werden und dass Sicherheit eine Reise und kein Ziel ist.

Vielen Dank für Ihre Zeit.

Bleiben wir in Kontakt!

Gerne informieren wir Sie über aktuelle Beiträge und Angebote.

Weitere Beiträge

blank

Anti-Pegasus Spyware​

Ein Anbieter hat eine gefälschte Website eingerichtet, die vorgibt, von Amnesty International zu stammen, und Benutzern eine Software anbietet, die sie vor der Pegasus-Malware der NSO-Gruppe schützt. In Wirklichkeit handelt es sich um einen Remote Access Trojaner (RAT).

phone number spoofing

Rufnummer fälschen oder ändern

Welchen Sinn hat es, die Telefonnummer zu ändern und vor allem, welchen Schutz erhalten Sie dadurch? Ist dies die richtige Methode, um sich zu schützen? Lesen Sie diesen Artikel

A mobile phone that shows a service where you can change your voice and phone number

Der König der Telefonbetrüger iSpoof

Wir haben Anfragen von Benutzern nach Lösungen für das Spoofing von Anrufer-IDs immer abgelehnt. In der Wildnis lauern viele Sicherheitsrisiken. Lesen Sie den ganzen Artikel.