Internet staat gelijk aan problemen. Daarom is een van de meest radicale manieren om een computer te beveiligen die extreem waardevolle informatie bevat of een kritiek proces beheert om deze helemaal niet met het internet te verbinden, of misschien zelfs niet eens met een netwerk, zelfs geen lokaal netwerk. Dit soort fysieke isolatie wordt ook wel een air gap genoemd.
Geen verbinding, geen problemen, toch? Helaas klopt dit niet helemaal, want er bestaan een aantal sluwe manieren om gegevens zelfs van air-gapped apparaten te exfiltreren. Een groep onderzoekers van de Israëlische Ben-Gurion Universiteit heeft zich onder leiding van Mordechai Guri in dit soort methodes voor gegevensdiefstal gespecialiseerd. Wij leggen uit wat hun bevindingen zijn en of u zich zorgen moet maken.
Hoe omzeilt men een air gap?
Dat air-gapped systemen kwetsbaar zijn is niets nieuws. Supply-chain-aanvallen en omgekochte insiders zijn altijd een mogelijkheid. De eenvoudigste aanvallen gebruiken bijvoorbeeld een geïnfecteerde usb-stick; dat is ook hoe het legendarische Stuxnet begon.
Goed, dus de computer raakt geïnfecteerd, maar hoe kan het dan dat iemand de gegevens ervan steelt zonder internetverbinding?
Daar komen vindingrijkheid en natuurkunde elkaar tegen. Een computer kan fysiek geïsoleerd zijn en geen signalen over netwerken verzenden, maar hij genereert nog altijd warmte, magnetische velden en geluid. En via dit soort minder voor de hand liggende kanalen kan iemand uw informatie overhevelen.
Ultrasound
Zelfs een computer zonder speakers of audio-apparatuur kan geluiden maken binnen het bereik 20 Hz–24 KHz (als u bijvoorbeeld de frequentie van de voeding verandert). Sterker nog: zelfs een apparaat zonder aparte microfoon kan u afluisteren, omdat speakers of koptelefoons kunnen worden gemanipuleerd om dit te doen. Een aanzienlijke gedeelte van het hierboven genoemde bereik (18 KHz–24 KHz, om precies te zijn) is niet hoorbaar voor het menselijk oor, en daar kan op tal van manieren gebruik van worden gemaakt. Thuis kan dit bereik bijvoorbeeld een smart speaker activeren.
Relevanter in dit geval is dat iemand een computer met malware kan infecteren die informatie kan versleutelen en die via ultrasound verzendt. Dit wordt dan weer opgepikt door een ander geïnfecteerd apparaat in de buurt (bijvoorbeeld een smartphone) en naar de buitenwereld verzonden. Andere methodes die onderzoekers hebben ontdekt benutten de geluiden die door de ventilatoren en harde schijven van de computer worden gemaakt.
Elektromagnetisme
Vergeet ook het goede oude elektromagnetisme niet. Een elektrische stroom creëert een elektromagnetisch veld dat kan worden opgepikt en omgezet in een elektrisch signaal. Door deze stroom te beheren, kunt u dit veld beheren. Met deze kennis kunnen aanvallers malware gebruiken om een reeks signalen naar het scherm te sturen en de monitorkabel in een soort antenne te veranderen. Door het aantal en de frequentie van de verzonden bytes te manipuleren, kunnen ze radiogolven opwekken die door een FM-ontvanger kunnen worden gedetecteerd. En dat, dames en heren, is de modus operandi achter AirHopper.
Andere methodes maken gebruik van GSMem-malware om golven van de geheugenbus van de computer te exploiteren. Deze malware, vergelijkbaar met AirHopper, verzendt een vaste reeks nullen en enen langs de geheugenbus, waardoor er variaties in de elektromagnetische straling worden veroorzaakt. Het is mogelijk om in deze variaties informatie te versleutelen en die op te pikken met gebruik van een normale mobiele telefoon die op de GSM-, UMTS- of LTE-frequentieband opereert, zelfs een telefoon zonder een ingebouwde FM-radio.
Het algemene principe is duidelijk: bijna elk computercomponent kan dienst doen als antenne. Ander onderzoek omvat methodes voor het verzenden van data met gebruik van de straling van de Universal Serial Bus (USB), GPIO-interface en stroomkabels.
Magnetisme
Een bijzonder kenmerk van de magneet-gebaseerde methodes is dat die in sommige gevallen zelfs in een kooi van Faraday kunnen werken, die elektromagnetische straling blokkeert en dus als zeer betrouwbare bescherming wordt beschouwd.
Met magnetisme voor exfiltratie maakt men gebruik van magnetische straling van de hoge frequentie die CPU’s genereren en die door de metalen behuizing heengaat. Dit is bijvoorbeeld de straling die ervoor zorgt dat een compas in een kooi van Faraday kan werken. De onderzoekers ontdekten dat ze door de lading op de kernen van een processor via software te manipuleren de magnetische straling konden beheren. Ze hoefden alleen maar een ontvanger vlakbij de kooi te plaatsen. Guri’s team meldde een bereik van 1,5 meter. Om informatie te ontvangen gebruikten de onderzoekers een magnetische sensor die verbonden was met de seriële poort van een computer in de buurt.
Optica
Alle computers, air-gapped of niet, hebben led-lampjes, en door te beheren hoe die knipperen (opnieuw dankzij malware), kan een aanvaller geheimen van een geïsoleerde machine ontfutselen.
Deze gegevens kunnen bijvoorbeeld worden gestolen door een bewakingscamera in de kamer te hacken. Zo werken LED-it-GO en xLED bijvoorbeeld. Wat betreft aIR-Jumper: camera’s kunnen zowel met infiltratie- als exfiltratiemechanismes werken; ze zijn in staat om infraroodstraling te verzenden én op te vangen, en dit is onzichtbaar voor het menselijk oog.
Thermodynamica
Een ander onverwacht kanaal voor het verzenden van gegevens vanaf een geïsoleerd systeem is hitte. De lucht binnen een computer wordt opgewarmd door de CPU, videokaart, harde schijf en nog veel andere randapparatuur (het zou makkelijker zijn om de delen op te noemen die géén warmte genereren). Computers zijn ook voorzien van ingebouwde temperatuursensoren om ervoor te zorgen dat onderdelen niet te warm worden.
Als één air-gapped computer door malware wordt geïnstrueerd om de temperatuur te wijzigen, kan een tweede (online) machine deze wijzigingen vastleggen en in begrijpelijke informatie omzetten, en deze gegevens vervolgens verzenden. Computers moeten redelijk dicht bij elkaar staan om met elkaar te kunnen communiceren door middel van thermische signalen: niet meer dan 40 centimeter afstand. Een voorbeeld waarbij van deze methode gebruik wordt gemaakt is BitWhisper.
Seismische golven
Vibratie is het laatste soort gegevensoverdragende straling dat de experts onderzochten. Malware manipuleert ook hier de snelheid van de ventilatoren van de computer, maar in dit geval versleutelt het de doelinformatie in trillingen en niet in geluiden. Een versnellingsmeter-app op een smartphone die op hetzelfde oppervlak als de computer ligt vangt deze golven op.
Het nadeel van deze methode is de zeer lage snelheid van betrouwbare gegevensoverdracht: ongeveer 0,5 bps. Daardoor kan het verzenden van een paar kilobytes al een paar dagen duren. Als de aanvaller echter geen haast heeft, is dit een bruikbare methode.
Is het tijd om ons zorgen te maken?
Allereerst is er goed nieuws: de methodes voor gegevensdiefstal die hierboven staan beschreven zijn erg complex, dus het is niet waarschijnlijk dat iemand die zal gebruiken om uw financiële gegevens of klantendatabases zal stelen. Als de gegevens waar u mee werkt echter interessant zijn voor buitenlandse inlichtingendiensten of industriële spionnen, moet u zich op zijn minst bewust zijn van deze gevaren.
Zo blijft u beschermd
Een simpele maar effectieve manier om diefstal van vertrouwelijke informatie te voorkomen is om alle soorten apparaten van buitenaf te verbieden, inclusief alle soorten mobiele telefoons op de werkvloer. Als dat niet kan of als u aanvullende veiligheidsmaatregelen wilt nemen, overweeg dan het volgende:
- Zorg voor afstand tussen de apparaten in de buurt van de air-gapped computer (je zou kunnen spreken van een soort van social distancing voor tech);
- Scherm het terrein af of plaats de computer in een kooi van Faraday (maar denk wel aan de sectie over magnetisme hierboven);
- Doe uw eigen metingen van de magnetische stralingen van de computer en let op onregelmatigheden;
- Beperk of verban het gebruik van speakers;
- Schakel alle computer-audioapparatuur uit;
- Creëer geluidsinterferentie op het terrein met de air-gapped computer;
- Beperk de infrarood-functionaliteit van bewakingscamera’s (wat helaas hun effectiviteit in het donker beperkt);
- Beperk zichtbaarheid van led-lampjes (doe er tape overheen of schakel ze uit);
- Schakel usb-poorten op de air-gapped computer uit om infectie te voorkomen.
Daarnaast merkten de onderzoekers op dat in bijna alle gevallen betere beveiliging op softwareniveau de isolatie verbetert. In andere woorden: zorg ervoor dat u betrouwbare beveiligingsoplossingen installeert om schadelijke activiteit te detecteren. Als een geïsoleerde machine voor standaardtaken wordt gebruikt (een redelijk veel voorkomend scenario in het geval van air-gapped computers), stel het beschermingssysteem dan in op Default Deny-modus, waardoor het uitvoeren van onverwachte programma’s of processen automatisch geblokkeerd wordt.