Kategorien
Artikel & Neuigkeiten Datenschutz & Sicherheit

COVID-bit

Der Wireless Spyware Trick mit einem unglücklichen Namen

Wenn Sie unser regelmäßiger Leser sind, können Sie wahrscheinlich erraten, wohin uns diese virtuelle Reise führt….

…wir sind wieder einmal unterwegs zum Fachbereich für Software und Informationssystemtechnik an der Ben-Gurion-Universität des Negev in Israel.
Forscher des Forschungszentrums für Cybersicherheit des Departements untersuchen regelmäßig Sicherheitsfragen im Zusammenhang mit so genannten Airgapped Networks.
Wie der Name schon sagt, wird ein Airgapped-Netzwerk absichtlich nicht nur vom Internet, sondern auch von allen anderen Netzwerken getrennt, sogar von denen in derselben Einrichtung.
Um einen Hochsicherheits-Datenverarbeitungsbereich zu schaffen (oder genauer gesagt einen Bereich mit höherer Sicherheit als seine Nachbarn, aus dem Daten nicht so einfach herauskommen können), werden keine physischen Kabel vom Airgapped-Netzwerk mit einem anderen Netzwerk verbunden.
Darüber hinaus wird in der Regel die gesamte drahtlose Kommunikationshardware deaktiviert, oder idealerweise physisch entfernt, wenn dies möglich ist, oder dauerhaft durch Durchtrennen von Kabeln oder Leiterbahnen getrennt, wenn dies nicht möglich ist. Die Idee ist, eine Umgebung zu schaffen, in der es Angreifern oder unzufriedenen Insidern zwar gelingt, bösartigen Code wie Spyware in das System einzuschleusen, es ihnen aber nicht leicht oder gar unmöglich gemacht wird, die gestohlenen Daten wieder herauszuholen.

Es ist schwieriger, als es sich anhört

Der Aufbau eines brauchbaren Airgapped-Netzes ohne äußere „Datenschlupflöcher“ ist leider schwieriger, als es klingt. Die Forscher der Ben-Gurion-Universität haben in der Vergangenheit zahlreiche praktikable Tricks beschrieben und gezeigt, wie man sie abschwächen kann.

Wir haben, zugegebenermaßen mit einer Mischung aus Faszination und Freude, schon oft über ihre Arbeit geschrieben, darunter verrückte Tricks wie GAIROSCOPE (Verwandlung des Kompass-Chips eines Mobiltelefons in ein primitives Mikrofon), LANTENNA (Verwendung von festverdrahteten Netzwerkkabeln als Funkantennen) und der FANSMITTER (Variieren der CPU-Lüftergeschwindigkeit durch Ändern der Systemlast, um einen Audio-„Datenkanal“ zu erstellen).

Diesmal haben die Forscher ihrem neuen Trick den unglücklichen und vielleicht unnötig verwirrenden Namen COVID-bit gegeben, wobei COV ausdrücklich für „verdeckt“ steht und wir vermuten, dass ID-bit so etwas wie „information disclosure, bit-by-bit“ bedeutet.
Bei diesem Datenexfiltrationsverfahren wird die eigene Stromversorgung eines Computers als Quelle für nicht autorisierte, aber dennoch erkenn- und entschlüsselbare Funkübertragungen genutzt.

Die Forscher behaupten, dass verdeckte Datenübertragungsraten von bis zu 1000 Bits/Sek. möglich sind (was vor 40 Jahren eine durchaus brauchbare und nutzbare Modemgeschwindigkeit war).
Sie behaupten auch, dass die durchgesickerten Daten von einem unveränderten und unschuldig aussehenden Mobiltelefon – sogar einem, bei dem die gesamte drahtlose Hardware ausgeschaltet ist – in einer Entfernung von bis zu 2 Metern empfangen werden können.
Das bedeutet, dass Komplizen außerhalb eines gesicherten Labors diesen Trick anwenden könnten, um gestohlene Daten unverdächtig zu empfangen, vorausgesetzt, die Wände des Labors sind nicht gut genug gegen Funklöcher abgeschirmt.

Also, hier ist, wie COVID-bit funktioniert.

Strommanagement als Datenkanal

Moderne CPUs variieren in der Regel ihre Betriebsspannung und die Frequenz, um sich an die wechselnde Belastung anzupassen und so den Stromverbrauch zu senken und eine Überhitzung zu vermeiden.
Einige Laptops steuern die CPU-Temperatur sogar ohne Lüfter, indem sie den Prozessor absichtlich verlangsamen, wenn er zu heiß wird, indem sie sowohl die Frequenz als auch die Spannung anpassen, um auf Kosten einer geringeren Leistung die Abwärme zu reduzieren. (Wenn Sie sich jemals gefragt haben, warum Ihr neuer Linux-Kernel im Winter schneller läuft, könnte dies der Grund sein). Das ist dank eines raffinierten elektronischen Geräts möglich, das als SMPS (Schaltnetzteil) bezeichnet wird.
SMPS verwenden keine Transformatoren und variable Widerstände, um die Ausgangsspannung zu variieren, wie es bei den altmodischen, sperrigen, ineffizienten und surrenden Netzteilen der Fall war.
Stattdessen wandeln sie eine konstante Eingangsspannung in eine saubere Gleichstrom-Rechteckwelle um, indem sie einen schnell schaltenden Transistor verwenden, um die Spannung hunderttausend- bis millionenfach pro Sekunde komplett ein- und auszuschalten.
Ziemlich einfache elektrische Komponenten wandeln dann dieses zerhackte Gleichstromsignal in eine konstante Spannung um, die proportional zu dem Verhältnis ist, welches zwischen der Dauer der „Ein“- und der „Aus“-Stufen der sauber geschalteten Rechteckwelle besteht.

Wie Sie sich vorstellen können, ist dieses Umschalten und Glätten mit schnellen Änderungen von Strom und Spannung im Inneren des SMPS verbunden, wodurch wiederum bescheidene elektromagnetische Felder (einfach ausgedrückt: Radiowellen) entstehen, die über die Metallleiter im Gerät selbst, beispielsweise über die Leiterbahnen der Platine und die Kupferkabel, nach außen dringen.
Und wo es ein elektromagnetisches Leck gibt, können Sie sicher sein, dass die Forscher der Ben-Gurion-Universität nach Möglichkeiten suchen, dieses Leck als möglichen geheimen Signalisierungsmechanismus zu nutzen.
Aber wie kann man das Funkrauschen eines millionenfach pro Sekunde schaltenden Netzteils nutzen, um andere Signale als Rauschen zu übertragen?

Wechseln Sie die Schaltrate

Einem Bericht des Forschers Mordechai Guri zufolge besteht der Trick darin, die CPU-Last schnell und drastisch zu verändern, jedoch mit einer viel niedrigeren Frequenz, indem man den Code, der auf jedem CPU-Kern läuft, bewusst zwischen 5000 und 8000 Mal pro Sekunde ändert.
Durch ein systematisches Muster von Änderungen der Prozessorlast bei vergleichsweise niedrigen Frequenzen…

…Guri war in der Lage, das SMPS dazu zu bringen, seine hochfrequenten Schaltraten so umzuschalten, dass es niederfrequente Funkmuster erzeugte, die zuverlässig erkannt und dekodiert werden konnten.
Und es kommt noch besser: Da sein absichtlich erzeugtes elektromagnetisches „Pseudorauschen“ zwischen 0 Hz und 60 kHz auftrat, stellte sich heraus, dass es gut mit den Abtastfähigkeiten eines durchschnittlichen Laptop- oder Mobiltelefon-Audiochips übereinstimmt, der zur Digitalisierung von Sprache und zur Wiedergabe von Musik verwendet wird. (Der obige Ausdruck „Audiochip“ ist kein Tippfehler, auch wenn wir über Funkwellen sprechen, wie Sie gleich sehen werden.)

Das menschliche Ohr kann nämlich Frequenzen bis etwa 20 kHz hören, und man muss mindestens doppelt so schnell abtasten bzw. aufzeichnen, um Schallschwingungen zuverlässig zu erkennen und somit hohe Frequenzen als brauchbare Schallwellen und nicht nur als Spikes oder gleichstromartige „Geraden“ wiederzugeben.
Die CD-Abtastrate (Compact Discs, falls Sie sich noch daran erinnern) wurde aus diesem Grund auf 44.100 Hz festgelegt, und bald darauf folgte DAT (Digital Audio Tape), basierend auf einer ähnlichen, aber leicht abweichenden Rate von 48.000 Hz.
Infolgedessen unterstützen fast alle heute verwendeten digitalen Audiogeräte, einschließlich derer in Headsets, Mobiltelefonen und Podcasting-Mikrofonen, eine Aufzeichnungsrate von 48.000 Hz. (Einige ausgefallene Mikrofone gehen noch weiter und verdoppeln, vervierfachen oder verachtfachen diese Rate bis hin zu 384 kHz, aber 48 kHz ist eine Rate, bei der Sie davon ausgehen können, dass fast jedes moderne digitale Audiogerät, selbst das billigste, das Sie finden können, in der Lage ist, aufzuzeichnen.)

Wo Audio und Radio aufeinandertreffen

Herkömmliche Mikrofone wandeln physischen Schalldruck in elektrische Signale um, so dass die meisten Menschen die Audiobuchse an ihrem Laptop oder Mobiltelefon nicht mit elektromagnetischer Strahlung in Verbindung bringen.
Sie können jedoch den Audioschaltkreis Ihres Mobiltelefons in einen Funkempfänger oder -sender mit niedriger Qualität, niedriger Frequenz und niedriger Leistung umwandeln…

…indem man einfach ein „Mikrofon“ (oder einen „Kopfhörer“) aus einer Drahtschleife herstellt, es in die Audiobuchse einsteckt und als Radioantenne wirken lässt.
Wenn Sie das schwache elektrische „Audio“-Signal aufzeichnen, das in der Drahtschleife durch die elektromagnetische Strahlung erzeugt wird, der sie ausgesetzt ist, erhalten Sie eine digitale Rekonstruktion der Radiowellen mit 48.000 Hz, die empfangen wurden, während Ihr „Antennaphon“ eingesteckt war.
Mit Hilfe einiger ausgeklügelter Frequenzkodierungstechniken zur Erzeugung von Radio-„Rauschen“, das nicht nur zufälliges Rauschen war, konnte Guri einen verdeckten Einweg-Datenkanal mit Datenraten von 100 bis 1000 Bits/Sekunde schaffen, je nach Art des Geräts, auf dem der Code zur Erhöhung der CPU-Last lief.

Guri fand heraus, dass Desktop-PCs dazu gebracht werden können, „geheime Radiowellen“ in bester Qualität zu erzeugen, d. h. 500 Bits/Sek. ohne Fehlermeldungen oder 1000 Bits/Sek. mit einer Fehlerrate von 1 %.
Ein Raspberry Pi 3 konnte mit 200 Bits/Sek. ohne Fehler „senden“, während ein Dell-Laptop, der in dem Test verwendet wurde, 100 Bits/Sek. schaffte.
Wir gehen davon aus, dass je dichter die Schaltkreise und Komponenten in einem Gerät angeordnet sind, desto stärker die Interferenz mit den verdeckten Funksignalen ist, die von den SMPS-Schaltkreisen erzeugt werden.
Guri vermutet auch, dass die in Laptops übliche Energieverwaltung, die in erster Linie die Lebensdauer der Batterien verlängern soll, das Ausmaß verringert, in dem sich schnelle Änderungen der CPU-Last auf die Schaltung des SMPS auswirken, wodurch die Datenübertragungskapazität des verdeckten Signals verringert wird.
Dennoch reichen 100 Bits/Sekunde aus, um einen 256-Bit-AES-Schlüssel in weniger als 3 Sekunden, einen 4096-Bit-RSA-Schlüssel in etwa einer Minute oder 1 MByte an beliebigen Daten in weniger als einem Tag zu stehlen.

Was kann man dagegen tun?

Wenn Sie einen sicheren Bereich betreiben und sich Sorgen über verdeckte Exfiltrationskanäle dieser Art machen:

  • Erwägen Sie, Ihren sicheren Bereich mit einer Funkabschirmung zu versehen. Leider kann dies für große Labore teuer sein und erfordert in der Regel eine teure Isolierung der Stromversorgungskabel des Labors sowie die Abschirmung von Wänden, Böden und Decken mit Metallgittern.
  • Erwägen Sie die Generierung von Funksignalen zur Gegenüberwachung. Das „Stören“ des Funkspektrums in dem Frequenzband, das herkömmliche Audiomikrofone digitalisieren können, entschärft diese Art von Angriff. Beachten Sie jedoch, dass das Stören von Funksignalen möglicherweise die Genehmigung der Regulierungsbehörden in Ihrem Land erfordert.
  • Erwägen Sie, Ihren Luftspalt auf über 2 Meter zu vergrößern. Sehen Sie sich Ihren Grundriss an und berücksichtigen Sie, was sich neben dem sicheren Labor befindet. Lassen Sie Mitarbeiter oder Besucher, die im unsicheren Teil Ihres Netzwerks arbeiten, nicht näher als 2m an Geräte im Inneren heran, selbst wenn eine Wand im Weg ist.
  • Erwägen Sie, zufällige zusätzliche Prozesse auf sicheren Geräten auszuführen. Dadurch wird den verdeckten Signalen unvorhersehbares Funkrauschen hinzugefügt, wodurch sie schwerer zu erkennen und zu decodieren sind. Wie Guri jedoch anmerkt, verringert dies „nur für den Fall“ ständig Ihre verfügbare Rechenleistung, was möglicherweise nicht akzeptabel ist.
  • Erwägen Sie, Ihre CPU-Frequenz zu sperren. Einige BIOS-Setup-Tools bieten diese Möglichkeit und schränken die Anzahl der stattfindenden Leistungsumschaltungen ein. Guri fand jedoch heraus, dass dies nur die Reichweite des Angriffs einschränkt und ihn nicht wirklich beseitigt.

Wenn Sie keinen sicheren Bereich haben, um den Sie sich kümmern müssen…

…dann können Sie diese Geschichte einfach nur genießen und sich daran erinnern, dass sie den Grundsatz bekräftigt, wonach Angriffe immer nur besser werden und dass Sicherheit wirklich eine Reise und kein Ziel ist.

Wir danken Ihnen für Ihre Zeit.

info@anti-interception.com
Facebook Instagram Youtube

ABONNIEREN SIE UNSEREN NEWSLETTER

Die neuesten Nachrichten und Artikel die an Ihren Posteingang gesendet werden.