Om geheime informatie uit handen van aanvallers te houden, plaatsen organisaties dit soort informatie op apparaten die niet verbonden zijn met een lokaal netwerk, laat staan met het internet. Dit zijn zogenaamde air-gapped computers. Hoe veilig dat ook mag klinken, het infecteren van zo’n machine of een netwerksegment is eigenlijk niet zo moeilijk (denk aan het Stuxnet-verhaal). Het onttrekken van de verkregen informatie is veel moeilijker.
En dat is waar er allerlei soorten slimme methodes van pas komen, en Mordechai Guri, een onderzoeker aan de Ben-Gurion Universiteit van de Negev, heeft zich hierin gespecialiseerd. Dr. Guri is natuurlijke niet de enige, maar in de afgelopen jaren is hij betrokken geweest bij de ontdekking van tientallen vergelijkbare methodes.
Een nieuw onderzoekt beschrijf nog een nieuwe manier om gegevens aan een geïsoleerde computer te onttrekken, dit keer met gebruik van wifi-technologie (vandaag de naam Air-Fi).
Hoe Air-Fi werkt
Het mooie van Air-Fi is dat het zelfs werkt als de doelcomputer geen wifi-uitrusting heeft. In plaats daarvan is het afhankelijk van al eerder op het apparaat geplante malware die de DDR SDRAM-geheugenbus kan gebruiken om elektromagnetische straling op een frequentie van 2,4 Ghz te genereren. De malware kan de benodigde gegevens in variaties van deze straling coderen, en elk apparaat met een wifi-ontvanger, inclusief een ander gecompromitteerd apparaat, kan de gegenereerde signalen opvangen en onderscheppen. Dat andere apparaat kan een gewone smartphone zijn of zelfs een slimme lamp.
De Air-Fi-methode is vooral vervelend vanuit een cybersecurity-perspectief. Er zijn geen administratorrechten op de geïsoleerde computer voor nodig; een gewoon gebruikersaccount kan het klusje ook klaren. Bovendien biedt het gebruik van een virtuele machine geen bescherming, want deze hebben toegang tot de geheugenmodules.
Snelheid en bereik van gegevensoverdracht
De onderzoekers verzonden gegevens zonder opvallende storingen op een bereik van tot wel 2-3 meter (in één geval zelfs tot 8 meter) en met een snelheid van 100 bits per seconde, afhankelijk van de hardware in de geïnfecteerde computer en het type ontvanger. Net als bij de meeste vergelijkbare methodes, is dat niet erg snel. Voor de overdracht van een bestand van 20 MB zou bijvoorbeeld 466 uur nodig zijn. Dat gezegd hebbende, de songtekst van “Jingle Bells” van 1300 bytes kon in 90 seconden worden verstuurd. In dat licht lijkt het stelen van een gebruikersnaam en wachtwoord met deze techniek zeer realistisch.
Het bestrijden van Air-Fi
Bij het gebruik van Air-Fi zijn er elektromagnetische stralingen betrokken. U kunt deze strategie tegengaan door de volgende maatregelen te nemen:
- Laat met wifi uitgeruste apparaten onder geen beding in de buurt van geïsoleerde systemen komen;
- Controleer geïsoleerde systemen op verdachte processen;
- Scherm de computer af in een Kooi van Faraday;
- Verban alle apparaten van buitenaf, inclusief druktoetstelefoons, in de omgeving.
Dit laatste advies is tevens de meest radicale aanpak, maar ook de effectiefste.
Net als alle vergelijkbare methodes is Air-Fi te langzaam en moeilijk te gebruiken voor de gewone cybercrimineel voor alledaagse aanvallen. Het kan echter interessant zijn voor industriële spionnen en overheidsspelers vanwege de mogelijkheid om zonder administratorrechten te werk te gaan. De volledige tekst van het onderzoek biedt meer informatie over de methode.