Ataque COVID-Bit
Este artículo nos lleva al Departamento de Ingeniería de Software y Sistemas de Información de la Universidad Ben-Gurion del Negev, en Israel, donde se han detectado problemas con las llamadas redes airgapped.
Si eres nuestro lector habitual, probablemente puedas adivinar a qué lugar del planeta nos dirigimos en este viaje virtual….
…nos dirigimos una vez más al Departamento de Ingeniería de Software y Sistemas de Información de la Universidad Ben-Gurion del Negev, en Israel.
Los investigadores del Centro de Investigación sobre Ciberseguridad del departamento investigan regularmente problemas de seguridad relacionados con las llamadas redes airgapped.
Como su nombre indica, una red airgapped está deliberadamente desconectada no sólo de Internet, sino también de cualquier otra red, incluso las de la misma instalación.
Para crear una zona segura de procesamiento de datos de alta seguridad (o, más exactamente, cualquier zona de mayor seguridad que sus vecinos donde los datos no puedan salir fácilmente), no se conectan cables físicos desde la red airgapped a ninguna otra red.
Además, todo el hardware de comunicaciones inalámbricas suele estar desactivado (e idealmente retirado físicamente si es posible, o desconectado permanentemente cortando cables o trazas de la placa de circuitos si no).
La idea es crear un entorno en el que, incluso si los atacantes o las personas de dentro desafectadas consiguieran inyectar código malicioso como spyware en el sistema, no les resultaría fácil, o ni siquiera posible, volver a sacar los datos robados.
Desgraciadamente, crear una red apantallada en el aire sin “fugas de datos” externas es más difícil de lo que parece, y los investigadores de la Universidad Ben-Gurion ya han descrito en el pasado numerosos trucos viables, junto con la forma de mitigarlos.
Ya hemos escrito, con una mezcla de fascinación y deleite, sobre su trabajo en muchas ocasiones, incluyendo trucos extravagantes como GAIROSCOPE (convertir el chip de la brújula de un teléfono móvil en un micrófono rudimentario), LANTENNA (utilizar cables de red cableados como antenas de radio) y el FANSMITTER (variar la velocidad del ventilador de la CPU cambiando la carga del sistema para crear un “canal de datos” de audio).
En esta ocasión, los investigadores han bautizado su nuevo truco con el desafortunado y quizás innecesariamente confuso nombre de COVID-bit, donde COV aparece explícitamente como “encubierto”, y nos dejan adivinar que ID-bit significa algo así como “revelación de información, bit a bit”.
Este esquema de exfiltración de datos utiliza la propia fuente de alimentación de un ordenador como fuente de transmisiones de radio no autorizadas pero detectables y descodificables.
Los investigadores afirman velocidades de transmisión de datos encubiertas de hasta 1.000 bits/segundo (que era una velocidad de módem telefónico perfectamente útil y utilizable hace 40 años).
También afirman que los datos filtrados pueden ser recibidos por un teléfono móvil no modificado y de aspecto inocente -incluso uno con todo su hardware inalámbrico desactivado- hasta a 2 metros de distancia.
Esto significa que cómplices ajenos a un laboratorio seguro podrían utilizar este truco para recibir datos robados sin sospechar nada, suponiendo que las paredes del laboratorio no estén suficientemente bien blindadas contra las fugas de radio.
Así es como funciona COVID-bit.
Las CPU modernas suelen variar su voltaje y frecuencia de funcionamiento para adaptarse a los cambios de carga, reduciendo así el consumo de energía y ayudando a evitar el sobrecalentamiento.
De hecho, algunos portátiles controlan la temperatura de la CPU sin necesidad de ventiladores, ralentizando deliberadamente el procesador si empieza a calentarse demasiado, ajustando tanto la frecuencia como el voltaje para reducir el calor residual a costa de un menor rendimiento. (Si alguna vez te has preguntado por qué tus nuevos núcleos Linux parecen construirse más rápido en invierno, puede que sea por esto).
Pueden hacerlo gracias a un ingenioso dispositivo electrónico conocido como SMPS, abreviatura de fuente de alimentación conmutada.
Las SMPS no utilizan transformadores ni resistencias variables para variar su tensión de salida, como hacían los anticuados, voluminosos, ineficientes y ruidosos adaptadores de corriente de antaño.
En lugar de eso, toman una tensión de entrada constante y la convierten en una onda cuadrada de CC utilizando un transistor de conmutación rápida para encender y apagar completamente la tensión, entre cientos de miles y millones de veces por segundo.
A continuación, unos componentes eléctricos bastante sencillos convierten esta señal de CC troceada en una tensión constante que es proporcional a la relación entre la duración de las etapas de “encendido” y “apagado” de la onda cuadrada conmutada limpiamente.
Como puede imaginar, esta conmutación y suavizado implica cambios rápidos de corriente y voltaje dentro del SMPS, lo que a su vez crea modestos campos electromagnéticos (en pocas palabras, ondas de radio) que se filtran a través de los conductores metálicos del propio dispositivo, como las trazas conductoras de la placa de circuitos y el cableado de cobre.
Y donde hay fugas electromagnéticas, puede estar seguro de que los investigadores de la Universidad Ben-Gurion buscarán formas de utilizarlas como posible mecanismo secreto de señalización.
Pero, ¿cómo se puede utilizar el ruido radioeléctrico de una SMPS que conmuta millones de veces por segundo para transmitir algo que no sea ruido?
El truco, según un informe escrito por el investigador Mordechai Guri, consiste en variar la carga de la CPU de forma repentina y drástica, pero a una frecuencia mucho menor, cambiando deliberadamente el código que se ejecuta en cada núcleo de la CPU entre 5000 y 8000 veces por segundo.
Creando un patrón sistemático de cambios en la carga del procesador a estas frecuencias comparativamente bajas…
…Guri fue capaz de engañar al SMPS para que cambiara sus tasas de conmutación de alta frecuencia de tal forma que generara patrones de radio de baja frecuencia que pudieran detectarse y descodificarse de forma fiable.
Y lo que es mejor, dado que el “pseudoruido” electromagnético generado deliberadamente aparecía entre 0 Hz y 60 kHz, resultó estar bien alineado con las capacidades de muestreo del chip de audio de un ordenador portátil o un teléfono móvil, utilizado para digitalizar la voz y reproducir música.
(La expresión “chip de audio” no es una errata, aunque estemos hablando de ondas de radio, como pronto se verá).
El oído humano puede oír frecuencias de hasta unos 20 kHz, por lo que es necesario producir la salida o grabar la entrada al menos al doble de esa frecuencia para detectar con fiabilidad las oscilaciones del sonido y reproducir así las altas frecuencias como ondas sonoras viables y no como picos o “líneas rectas” de corriente continua.
Las frecuencias de muestreo de los CD (discos compactos, si los recuerdas) se fijaron en 44.100 Hz por este motivo, y poco después siguieron las del DAT (cinta de audio digital), basadas en una frecuencia similar, aunque ligeramente diferente, de 48.000 Hz.
Como resultado, casi todos los dispositivos de audio digital que se utilizan hoy en día, incluidos los de auriculares, teléfonos móviles y micrófonos de podcasting, admiten una velocidad de grabación de 48.000 Hz. (Algunos micrófonos de lujo van más allá, duplicando, redoblando e incluso octuplicando esa velocidad hasta los 384 kHz, pero 48 kHz es una velocidad a la que se puede suponer que casi cualquier dispositivo de audio digital contemporáneo, incluso el más barato que puedas encontrar, será capaz de grabar).
Traditional microphones convert physical sound pressure into electrical signals, so most people don’t associate the audio jack on their laptop or mobile phone with electromagnetic radiation.
But you can convert your mobile phone’s audio circuitry into a low-quality, low-frequency, low-power radio receiver or transmitter…
…simply by creating a “microphone” (or a pair of “headphones”) consisting of a wire loop, plugging it into the audio jack, and letting it act as a radio antenna.
If you record the faint electrical “audio” signal that gets generated in the wire loop by the electromagnetic radiation it’s exposed to, you have a 48,000Hz digital reconstruction of the radio waves picked up while your “antennaphone” was plugged in.
So, using some clever frequency encoding techniques to construct radio “noise” that wasn’t just random noise after all, Guri was able to create a covert, one-way data channel with data rates running from 100 bits/sec to 1000 bits/sec, depending on the type of device on which the CPU load-tweaking code was running.
Desktop PCs, Guri found, could be tricked into producing the best quality “secret radio waves”, giving 500 bits/sec with no errors or 1000 bits/sec with a 1% error rate.
A Raspberry Pi 3 could “transmit” at 200 bits/sec with no errors, while a Dell laptop used in the test managed 100 bits/sec.
We’re assuming that the more tightly packed the circuitry and components are inside a device, the greater the interference with the covert radio signals generated by the SMPS circuity.
Guri also suggests that the power management controls typically used on laptop-class computers, aimed primarily at prolonging battery life, reduce the extent to which rapid alterations in CPU processing load affect the switching of the SMPS, thus reducing the data-carrying capacity of the covert signal.
Nevertheless, 100 bits/sec is enough to steal a 256-bit AES key in under 3 seconds, a 4096-bit RSA key in about a minute, or 1 MByte of arbitrary data in under a day.
Si diriges un área segura y te preocupan los canales de exfiltración encubiertos de este tipo:
Por supuesto, si no tienes una zona segura de la que preocuparte…
…puede limitarse a disfrutar de esta historia, recordando que refuerza el principio de que los ataques sólo pueden mejorar y, por tanto, que la seguridad es realmente un viaje, no un destino.
Gracias por su tiempo.
Este artículo nos lleva al Departamento de Ingeniería de Software y Sistemas de Información de la Universidad Ben-Gurion del Negev, en Israel, donde se han detectado problemas con las llamadas redes airgapped.
¿Recuerdas nuestras advertencias sobre el uso de VPN y las vulnerabilidades de seguridad que tienen todas las VPN? Ahora esto: El FBI advierte: Esta vulnerabilidad de día cero en el software VPN fue explotada por hackers APT.
El primer Stealth Phone 4G con una función sin precedentes: “XTerminator” permite realizar ataques OTA contra los IMSI catchers. Leer más