Categorías
Artículos & noticias Privacidad & seguridad

COVID-bit

El truco del spyware inalámbrico con un nombre desafortunado

Si eres nuestro lector habitual, probablemente puedas adivinar a qué parte del planeta nos dirigimos en este viaje virtual…

…nos vamos una vez más al Departamento de Ingeniería de Software y Sistemas de Información de la Universidad Ben-Gurion del Negev, en Israel.
Los investigadores del Centro de Investigación de Ciberseguridad del departamento investigan regularmente problemas de seguridad relacionados con las llamadas redes airgapped.
Como su nombre indica, una red airgapped está deliberadamente desconectada no sólo de Internet, sino también de cualquier otra red, incluso las de la misma instalación.
Para crear una zona segura de procesamiento de datos de alta seguridad (o, más exactamente, cualquier zona de mayor seguridad que sus vecinos donde los datos no puedan salir fácilmente), no se conectan cables físicos desde la red airgapped a ninguna otra red.
Además, todo el hardware de comunicaciones inalámbricas suele estar desactivado (e idealmente retirado físicamente si es posible, o desconectado permanentemente cortando cables o trazas de la placa de circuitos si no).
La idea es crear un entorno en el que, incluso si los atacantes o las personas de dentro desafectadas consiguieran inyectar código malicioso como spyware en el sistema, no les resultaría fácil, o ni siquiera posible, volver a sacar los datos robados.

Es más difícil de lo que parece

Desgraciadamente, crear una red apantallada en el aire sin «fugas de datos» externas es más difícil de lo que parece, y los investigadores de la Universidad Ben-Gurion ya han descrito en el pasado numerosos trucos viables, junto con la forma de mitigarlos.

Ya hemos escrito en varias ocasiones, con una mezcla de fascinación y deleite, sobre su trabajo, incluyendo trucos extravagantes como GAIROSCOPE (que convierte el chip de la brújula de un teléfono móvil en un micrófono rudimentario), LANTENNA (que utiliza cables de red cableados como antenas de radio) y el FANSMITTER (que varía la velocidad del ventilador de la CPU cambiando la carga del sistema para crear un «canal de datos» de audio).

En esta ocasión, los investigadores han bautizado su nuevo truco con el desafortunado y quizá innecesariamente confuso nombre de COVID-bit, donde COV aparece explícitamente como «encubierto», y nos dejan adivinar que ID-bit significa algo así como «revelación de información, bit a bit».
Este esquema de exfiltración de datos utiliza la propia fuente de alimentación de un ordenador como fuente de transmisiones de radio no autorizadas pero detectables y descodificables.
Los investigadores afirman velocidades de transmisión de datos encubiertas de hasta 1.000 bits/segundo (que era una velocidad de módem telefónico perfectamente útil y utilizable hace 40 años).
También afirman que los datos filtrados pueden ser recibidos por un teléfono móvil no modificado y de aspecto inocente -incluso uno con todo su hardware inalámbrico desactivado- hasta a 2 metros de distancia.
Esto significa que cómplices ajenos a un laboratorio seguro podrían utilizar este truco para recibir datos robados sin sospechar nada, suponiendo que las paredes del laboratorio no estén suficientemente bien blindadas contra las fugas de radio.

Así es como funciona COVID-bit.

La gestión de la energía como canal de datos

Las CPU modernas suelen variar su voltaje y frecuencia de funcionamiento para adaptarse a los cambios de carga, reduciendo así el consumo de energía y ayudando a evitar el sobrecalentamiento.
De hecho, algunos portátiles controlan la temperatura de la CPU sin necesidad de ventiladores, ralentizando deliberadamente el procesador si empieza a calentarse demasiado, ajustando tanto la frecuencia como el voltaje para reducir el calor residual a costa de un menor rendimiento. (Si alguna vez te has preguntado por qué tus nuevos núcleos Linux parecen construirse más rápido en invierno, puede que sea por esto).
Pueden hacerlo gracias a un ingenioso dispositivo electrónico conocido como SMPS, abreviatura de fuente de alimentación conmutada.
Las SMPS no utilizan transformadores ni resistencias variables para variar su tensión de salida, como hacían los anticuados, voluminosos, ineficientes y ruidosos adaptadores de corriente de antaño.
En lugar de eso, toman una tensión de entrada constante y la convierten en una onda cuadrada de CC utilizando un transistor de conmutación rápida para encender y apagar completamente la tensión, entre cientos de miles y millones de veces por segundo.
A continuación, unos componentes eléctricos bastante sencillos convierten esta señal de CC troceada en una tensión constante que es proporcional a la relación entre la duración de las etapas de «encendido» y «apagado» de la onda cuadrada conmutada limpiamente.

Como puede imaginarse, esta conmutación y suavizado implica rápidos cambios de corriente y voltaje dentro del SMPS, lo que a su vez crea modestos campos electromagnéticos (en pocas palabras, ondas de radio) que se filtran a través de los conductores metálicos del propio dispositivo, como las trazas conductoras de la placa de circuitos y el cableado de cobre.
Y donde hay fugas electromagnéticas, puede estar seguro de que los investigadores de la Universidad Ben-Gurion buscarán formas de utilizarlas como posible mecanismo secreto de señalización.
Pero, ¿cómo se puede utilizar el ruido de radio de una SMPS que conmuta millones de veces por segundo para transmitir algo que no sea ruido?

Conmutar la velocidad de conmutación

El truco, según un informe escrito por el investigador Mordechai Guri, consiste en variar la carga de la CPU de forma repentina y drástica, pero a una frecuencia mucho menor, cambiando deliberadamente el código que se ejecuta en cada núcleo de la CPU entre 5000 y 8000 veces por segundo.
Al crear un patrón sistemático de cambios en la carga del procesador a estas frecuencias comparativamente bajas…

…Guri consiguió engañar al SMPS para que conmutara sus frecuencias altas de tal forma que generara patrones de radio de baja frecuencia que pudieran detectarse y descodificarse con fiabilidad.
Y lo que es mejor, dado que el «pseudoruido» electromagnético generado deliberadamente aparecía entre 0 Hz y 60 kHz, resultó estar bien alineado con las capacidades de muestreo del chip de audio de un ordenador portátil o un teléfono móvil, utilizado para digitalizar la voz y reproducir música.
(La frase «chip de audio» no es una errata, aunque estemos hablando de ondas de radio, como pronto se verá).

El oído humano puede oír frecuencias de hasta 20 kHz, y es necesario producir o grabar a una frecuencia al menos dos veces superior para detectar las oscilaciones del sonido y reproducir las altas frecuencias como ondas sonoras y no como picos o «líneas rectas» de corriente continua.
Las frecuencias de muestreo de los CD (discos compactos, si los recuerdas) se fijaron en 44.100 Hz por este motivo, y poco después siguieron las del DAT (cinta de audio digital), basadas en una frecuencia similar, aunque ligeramente diferente, de 48.000 Hz.
Como resultado, casi todos los dispositivos de audio digital que se utilizan hoy en día, incluidos los de auriculares, teléfonos móviles y micrófonos de podcasting, admiten una velocidad de grabación de 48.000 Hz. (Algunos micrófonos de lujo van más allá, duplicando, redoblando e incluso octuplicando esa velocidad hasta los 384 kHz, pero 48 kHz es una velocidad a la que se puede suponer que casi cualquier dispositivo de audio digital contemporáneo, incluso el más barato que puedas encontrar, será capaz de grabar).

Donde el audio se une a la radio

Los micrófonos tradicionales convierten la presión sonora física en señales eléctricas, por lo que la mayoría de la gente no asocia la toma de audio de su portátil o teléfono móvil con la radiación electromagnética.
Pero puedes convertir el circuito de audio de tu móvil en un receptor o transmisor de radio de baja calidad, baja frecuencia y baja potencia….

…simplemente creando un «micrófono» (o un par de «auriculares») consistente en un bucle de alambre, conectándolo a la toma de audio y dejando que actúe como antena de radio.
Si se graba la débil señal eléctrica de «audio» que se genera en el bucle de alambre por la radiación electromagnética a la que está expuesto, se obtiene una reconstrucción digital de 48.000 Hz de las ondas de radio captadas mientras el «antenófono» estaba enchufado.
Así que, utilizando algunas técnicas inteligentes de codificación de frecuencias para construir un «ruido» de radio que, después de todo, no era sólo ruido aleatorio, Guri pudo crear un canal de datos unidireccional encubierto con velocidades de transmisión de datos que iban de 100 bits/s a 1.000 bits/s, dependiendo del tipo de dispositivo en el que se estuviera ejecutando el código de ajuste de carga de la CPU.

Guri descubrió que se podía engañar a los ordenadores de sobremesa para que produjeran «ondas de radio secretas» de la mejor calidad, con 500 bits/seg sin errores o 1000 bits/seg con una tasa de error del 1%.
Una Raspberry Pi 3 podía «transmitir» a 200 bits/segundo sin errores, mientras que un portátil Dell utilizado en la prueba alcanzaba los 100 bits/segundo.
Suponemos que cuanto más apretados estén los circuitos y componentes dentro de un dispositivo, mayor será la interferencia con las señales de radio encubiertas generadas por el circuito SMPS.
Guri también sugiere que los controles de gestión de energía que suelen utilizarse en los ordenadores portátiles, cuyo objetivo principal es prolongar la duración de la batería, reducen el grado en que las alteraciones rápidas en la carga de procesamiento de la CPU afectan a la conmutación de la SMPS, reduciendo así la capacidad de transporte de datos de la señal encubierta.
No obstante, 100 bits/seg es suficiente para robar una clave AES de 256 bits en menos de 3 segundos, una clave RSA de 4096 bits en aproximadamente un minuto, o 1 MByte de datos arbitrarios en menos de un día.

¿Qué hacer?

Si diriges un área segura y te preocupan los canales de exfiltración encubiertos de este tipo:

  • Considere la posibilidad de añadir blindaje radioeléctrico alrededor de su zona segura. Por desgracia, en el caso de los laboratorios grandes, esto puede resultar caro y suele implicar un costoso aislamiento del cableado de alimentación del laboratorio, así como el blindaje de paredes, suelos y techos con malla metálica.
  • Considere la posibilidad de generar señales de radio de contravigilancia. La «interferencia» del espectro radioeléctrico en la banda de frecuencia que los micrófonos de audio comunes pueden digitalizar mitigará este tipo de ataque. Sin embargo, tenga en cuenta que la interferencia de radio puede requerir el permiso de las autoridades reguladoras de su país.
  • Considera la posibilidad de aumentar el espacio de aire por encima de los 2 metros. Mira el plano de tu planta y ten en cuenta qué hay al lado del laboratorio seguro. No permita que el personal o los visitantes que trabajen en la parte insegura de su red se acerquen a menos de 2 metros de los equipos del interior, aunque haya una pared de por medio.
  • Considera la posibilidad de ejecutar procesos adicionales aleatorios en dispositivos seguros. Esto añade ruido de radio impredecible a las señales encubiertas, dificultando su detección y descodificación. Sin embargo, como señala Guri, hacer esto «por si acaso» reduce tu potencia de procesamiento disponible todo el tiempo, lo que podría no ser aceptable.
  • Considera la posibilidad de bloquear la frecuencia de tu CPU. Algunas herramientas de configuración de la BIOS te permiten hacerlo, y limita la cantidad de conmutación de potencia que tiene lugar. Sin embargo, Guri descubrió que en realidad esto sólo limita el alcance del ataque, y en realidad no lo elimina.

Por supuesto, si no tiene una zona segura de la que preocuparse…

…entonces puedes limitarte a disfrutar de esta historia, recordando que refuerza el principio de que los ataques sólo pueden mejorar, y por tanto que la seguridad es realmente un viaje, no un destino.

Gracias por su tiempo.

info@anti-interception.com

Facebook Instagram Youtube

SUSCRÍBETE A NUESTRO BOLETÍN

Las últimas noticias y artículos se envían a su bandeja de entrada.