Wenn Sie zu unseren regelmäßigen Lesern gehören, können Sie wahrscheinlich erraten, wohin uns diese virtuelle Reise führt… ….
… wir sind wieder einmal unterwegs zum Fachbereich Software- und Informationssystemtechnik an der Ben-Gurion Universität des Negev in Israel.
Die Forscherinnen und Forscher des Forschungszentrums für Cybersicherheit der Fakultät beschäftigen sich regelmäßig mit Sicherheitsfragen im Zusammenhang mit so genannten “Airgapped”-Netzwerken.
Wie der Name schon sagt, ist ein Airgapped-Netzwerk absichtlich nicht nur vom Internet getrennt, sondern auch von allen anderen Netzwerken – selbst von denen, die sich in der gleichen Einrichtung befinden.
Zur Schaffung eines sicheren Hochsicherheitsbereichs für die Verarbeitung von Daten (oder genauer: eines Bereichs, der sicherer ist als seine Nachbarn und in dem Daten nicht so leicht nach außen gelangen können) werden keine physischen Kabel zwischen dem Airgapped-Netzwerk und einem anderen Netzwerk angeschlossen.
Darüber hinaus wird in der Regel die gesamte drahtlose Kommunikationshardware deaktiviert (und idealerweise physisch entfernt, wenn dies möglich ist). Wenn dies nicht möglich ist, werden die Kabel oder Leiterbahnen dauerhaft getrennt.
Ziel ist die Schaffung einer Umgebung, in der es für Angreifer oder unzufriedene Insider selbst dann, wenn sie in der Lage wären, bösartigen Code wie z. B. Spyware in das System einzuschleusen, nicht einfach oder gar unmöglich wäre, die gestohlenen Daten wieder zu erlangen.
Leider ist es schwieriger, ein brauchbares Airgapped-Netzwerk ohne externe “Datenschlupflöcher” aufzubauen, als es sich anhört. Die Forscher der Ben-Gurion-Universität haben in der Vergangenheit viele praktikable Tricks beschrieben und gezeigt, wie man diese entschärfen kann.
Wir haben – zugegebenermaßen mit einer Mischung aus Faszination und Vergnügen – schon mehrfach über ihre Arbeit berichtet, darunter so verrückte Tricks wie das GAIROSCOPE (der Kompass-Chip eines Handys wird zu einem einfachen Mikrofon), die LANTENNA (festverdrahtete Netzwerkkabel werden als Funkantennen genutzt) und den FANSMITTER (die Drehzahl des CPU-Lüfters wird durch die Änderung der Systemlast verändert, um einen Audio-“Datenkanal” zu erzeugen).
Diesmal haben die Forscher ihrem neuen Trick den unglücklichen und vielleicht unnötig verwirrenden Namen COVID-bit gegeben, wobei COV explizit für “hidden” steht. Wir vermuten, dass ID-bit für “information disclosure, bit-by-bit” steht.
Bei dieser Methode der Datenexfiltration wird die eigene Stromversorgung eines Computers als Quelle für nicht autorisierte Funkübertragungen genutzt, die aber dennoch erkannt und dekodiert werden können.
Die Forscher behaupten, dass versteckte Datenübertragungsraten von bis zu 1000 Bit/s möglich sind. (Dies war vor 40 Jahren eine durchaus brauchbare und nutzbare Modemgeschwindigkeit.)
Sie behaupten auch, dass die durchgesickerten Daten von einem unveränderten, unschuldig aussehenden Mobiltelefon – sogar von einem, bei dem die gesamte Drahtloshardware ausgeschaltet ist – in bis zu 2 Metern Entfernung empfangen werden können.
Das bedeutet, dass Komplizen außerhalb eines gesicherten Labors diesen Trick anwenden könnten, um unbemerkt gestohlene Daten zu empfangen. Voraussetzung ist, dass die Wände des Labors nicht gut genug gegen Funkwellen abgeschirmt sind.
Und so funktioniert das COVID-Bit.
Moderne CPUs variieren in der Regel ihre Betriebsspannung und -frequenz, um sich an die wechselnde Last anzupassen. Auf diese Weise wird der Stromverbrauch gesenkt und eine Überhitzung vermieden.
Einige Laptops regeln die CPU-Temperatur sogar ohne Lüfter. Sie verlangsamen den Prozessor absichtlich, wenn er zu heiß wird, und passen sowohl die Frequenz als auch die Spannung an, um die Abwärme auf Kosten der Leistung zu reduzieren. (Wenn Sie sich jemals gewundert haben, warum Ihr Linux-Kernel im Winter schneller läuft, könnte das der Grund sein.)
Möglich wird dies durch ein ausgeklügeltes elektronisches Gerät, ein sogenanntes SMPS, kurz für Switched Mode Power Supply.
Schaltnetzteile verwenden keine Transformatoren und variablen Widerstände, wie es bei den altmodischen, sperrigen, ineffizienten und brummenden Netzteilen der Fall war, um die Ausgangsspannung zu variieren.
Stattdessen wandeln sie eine konstante Eingangsspannung in eine saubere Gleichstrom-Rechteckwelle um. Dazu verwenden sie einen schnell schaltenden Transistor, der die Spannung Hunderttausende bis Millionen Mal pro Sekunde komplett ein- und ausschaltet.
Dieses zerhackte Gleichstromsignal wird dann mit relativ einfachen elektrischen Bauteilen in eine konstante Spannung umgewandelt. Diese Spannung ist proportional zum Verhältnis der Dauer der Ein- und Ausschaltphasen der sauber geschalteten Rechteckwelle.
Wie man sich vorstellen kann, ist dieses Schalten und Glätten mit schnellen Strom- und Spannungsänderungen im Inneren des Netzteils verbunden. Dabei entstehen elektromagnetische Felder (einfach ausgedrückt: Radiowellen), die über die metallischen Leiter im Gerät, z.B. Leiterbahnen auf der Leiterplatte und Kupferkabel, austreten.
Und wo es elektromagnetische Lecks gibt, können Sie sicher sein: Die Forscher der Ben-Gurion-Universität suchen nach Möglichkeiten, sie als geheimen Signalmechanismus zu nutzen. Aber wie kann man das Funkrauschen einer Stromversorgung, die eine Million Mal pro Sekunde schaltet, nutzen, um etwas anderes als Rauschen zu übertragen?
Einem Bericht des Forschers Mordechai Guri zufolge besteht der Trick in der plötzlichen und drastischen Änderung der Prozessorauslastung, jedoch bei einer viel niedrigeren Frequenz, und zwar durch die absichtliche Änderung des Codes, der auf jedem CPU-Kern ausgeführt wird, und zwar zwischen 5.000 und 8.000 Mal pro Sekunde.
Durch die Schaffung eines systematischen Musters der Änderung der Prozessorauslastung bei diesen vergleichsweise niedrigen Frequenzen…
…gelang es Guri, das Schaltnetzteil dazu zu bringen, seine Schaltraten bei hohen Frequenzen so zu verändern, dass es Funkmuster bei niedrigen Frequenzen erzeugte, die zuverlässig erkannt und entschlüsselt werden konnten.
Mehr noch: Da sein absichtlich erzeugtes elektromagnetisches “Pseudo-Rauschen” zwischen 0 Hz und 60 kHz auftrat, stellte sich heraus, dass es gut mit den Abtastfähigkeiten eines durchschnittlichen Laptop- oder Handy-Audiochips übereinstimmte, der für die Digitalisierung von Sprache und die Wiedergabe von Musik verwendet wird.
(Wie Sie gleich sehen werden, ist der Begriff “Audiochip” kein Tippfehler, auch wenn es sich um Radiowellen handelt.)
Das menschliche Ohr kann Frequenzen bis etwa 20 kHz hören. Um Schallschwingungen zuverlässig zu erkennen und damit hohe Frequenzen als echte Schallwellen und nicht nur als Spikes oder DC-artige “Geraden” wiederzugeben, muss mindestens die doppelte Rate ausgegeben oder aufgenommen werden.
Aus diesem Grund wurde die Abtastrate von CDs (Compact Discs, falls Sie sich erinnern) auf 44.100 Hz festgelegt, und DAT (Digital Audio Tape) folgte bald darauf mit einer ähnlichen, aber etwas anderen Rate von 48.000 Hz.
Das bedeutet, dass die meisten digitalen Audiogeräte, die heutzutage verwendet werden, eine Abtastrate von 48.000 Hz unterstützen. Dies gilt auch für Kopfhörer, Mobiltelefone und Podcasting-Mikrofone. (Einige ausgefallene Mikrofone gehen sogar noch weiter und verdoppeln, und vervielfachen diese Rate auf bis zu 384 kHz. Aber 48 kHz ist eine Rate, bei der Sie davon ausgehen können, dass fast jedes moderne digitale Audiogerät, selbst das billigste, das Sie finden können, aufzeichnen kann.)
Herkömmliche Mikrofone wandeln physikalischen Schalldruck in elektrische Signale um. Die meisten Menschen verbinden daher die Audiobuchse ihres Laptops oder Mobiltelefons nicht mit elektromagnetischer Strahlung.
Sie können jedoch den Audioschaltkreis Ihres Mobiltelefons in einen Radioempfänger oder -sender mit niedriger Qualität, niedriger Frequenz und niedriger Leistung verwandeln…
… indem Sie einfach ein “Mikrofon” (oder “Kopfhörer”) aus einer Drahtschleife basteln. Stecken Sie es in die Audio-Buchse und lassen Sie es als Radioantenne fungieren.
Zeichnet man das schwache elektrische “Audiosignal” auf, das in der Drahtschleife durch die elektromagnetische Strahlung entsteht, der sie ausgesetzt ist, erhält man eine digitale Rekonstruktion der Radiowellen mit 48.000 Hz, die man empfing, als das “Antennaphon” angeschlossen war.
Mit Hilfe einiger ausgeklügelter Frequenzkodierungstechniken konnte Guri ein Funk-“Rauschen” erzeugen, das nicht nur zufälliges Rauschen war. So gelang es ihm, einen versteckten Einweg-Datenkanal mit Datenraten von 100 bis 1000 Bits pro Sekunde zu schaffen, je nach Art des Geräts, auf dem der Code ausgeführt wurde, der die CPU-Last erhöhte.
Guri hat herausgefunden, dass Desktop-PCs dazu gebracht werden können, “geheime Radiowellen” von höchster Qualität zu erzeugen. Sie können 500 Bits/Sekunde ohne Fehler oder 1000 Bits/Sekunde mit einer Fehlerrate von 1 % liefern.
Ein Raspberry Pi 3 konnte mit 200 Bit/s fehlerfrei “senden”. Ein Dell-Laptop, der im Test verwendet wurde, schaffte 100 Bit/s.
Wir vermuten: Je dichter die Schaltkreise und Komponenten in einem Gerät gepackt sind, desto stärker sind die Interferenzen mit den versteckten Funksignalen, die von der SMPS-Schaltung erzeugt werden.
Guri vermutet auch, dass das in Laptops übliche Power-Management, das in erster Linie die Akkulaufzeit verlängern soll, den Einfluss von schnellen Änderungen der CPU-Last auf das Schalten des Schaltnetzteils verringert. Dadurch wird die Datenübertragungskapazität des verborgenen Signals reduziert.
Dennoch sind 100 Bits/Sekunde ausreichend für den Diebstahl eines 256-Bit-AES-Schlüssels in weniger als 3 Sekunden, eines 4096-Bit-RSA-Schlüssels in etwa einer Minute oder 1 MByte beliebiger Daten in weniger als einem Tag.
Wenn Sie einen Sicherheitsbereich betreiben und sich Sorgen über solche versteckten Exfiltrationskanäle machen:
Wenn Sie sich natürlich keine Sorgen um Ihre Sicherheit machen müssen…
… dann können Sie diese Geschichte einfach genießen und sich daran erinnern, dass sie den Grundsatz bestätigt, dass Angriffe immer besser werden und dass Sicherheit eine Reise und kein Ziel ist.
Vielen Dank für Ihre Zeit.
Ein Anbieter hat eine gefälschte Website eingerichtet, die vorgibt, von Amnesty International zu stammen, und Benutzern eine Software anbietet, die sie vor der Pegasus-Malware der NSO-Gruppe schützt. In Wirklichkeit handelt es sich um einen Remote Access Trojaner (RAT).
Das Jahr 2024 ist nun schon eine Weile her, und es ist nicht einfach nur ein weiteres Jahr – es ist ein neues Kapitel, in dem du Weisheiten aufsaugst, aufsteigst und dein Wissen über das Stealth Phone erweiterst.
Erinnern Sie sich noch an unsere Warnungen vor der Verwendung von VPNs und den Sicherheitslücken, die alle VPNs aufweisen? Jetzt das: Das FBI warnt: Diese Zero-Day-Lücke in VPN-Software wurde von APT-Hackern ausgenutzt.
