Air-FI: outra forma de roubar dados de computadores isolados

Pesquisadores israelenses descobriram que os computadores não precisam necessariamente de um módulo WiFi para transmitir informações por essa tecnologia.

Para garantir que as informações secretas estejam fora do alcance dos invasores, as organizações as colocam em dispositivos que não estão conectados a uma rede local, muito menos à Internet. São computadores em air gap, ou seja, isolados fisicamente. No entanto, infectar uma máquina ou um segmento de rede não é tão difícil (lembre-se da história do Stuxnet). É muito mais complicado extrair as informações secretas. Caso contrário, toda a operação é inútil.

É aqui que todos os tipos de métodos inteligentes vêm em seu socorro, e Mordechai Guri, pesquisador da Universidade Ben Gurion, entra em cena. Ele não é o único, é claro, mas, nos últimos anos, esteve envolvido em algumas descobertas.

Agora, um novo estudo descreve mais uma maneira de extrair dados de um computador isolado, desta vez usando a tecnologia WiFi (que levou ao método a ser chamado de Air-Fi).

Como o Air-Fi funciona

A “beleza” do Air-Fi é que ele pode ser aplicado com sucesso mesmo se o computador sob ataque não tiver WiFi. Em vez disso, o malware plantado anteriormente no dispositivo usa o barramento de memória DDR SDRAM para gerar radiação eletromagnética na frequência de 2,4 GHz. Os dados necessários são codificados como variações dessa radiação. Qualquer dispositivo com um receptor WiFi pode captar e interceptar os sinais gerados, incluindo um aparelho que foi comprometido. Pode ser um smartphone comum ou uma lâmpada inteligente.

O método Air-Fi é especialmente perigoso do ponto de vista da cibersegurança porque não requer direitos de administrador no computador isolado; tudo é feito por meio de uma conta de usuário normal. Além disso, o uso de uma máquina virtual (VMs em inglês) não oferece proteção porque também tem acesso aos módulos de memória.

Velocidade e alcance da transmissão de dados

Dependendo do tipo de receptor e do hardware usado no computador infectado, os pesquisadores transmitiam dados sem distorções perceptíveis em uma faixa de até 2-3 metros (em um caso, até 8 metros) e uma velocidade de até 100 bits por segundo. Como acontece com a maioria dos métodos semelhantes, isso não é muito rápido. A transferência de um arquivo de 20 MB levaria 466 horas. Por outro lado, a letra de Jingle Bells tem 1.300 bytes de comprimento (um pouco mais de 10.000 bits) e pode ser transferida em 90 segundos. Portanto, roubar um nome de usuário e uma senha usando essa técnica é totalmente possível.

Como combater o Air-Fi

Em termos de classificação de emissões, o Air-Fi é um método eletromagnético, o que significa que pode ser combatido através das seguintes medidas:

  • Dispositivos habilitados para Wi-Fi não devem, em nenhuma circunstância, ser localizados próximos a sistemas isolados.
  • Monitorar processos suspeitos no sistema isolado para detectar operações suspeitas e disparar o alarme.
  • Blindagem: o computador pode ser colocado em uma gaiola de Faraday.
  • A proibição total de todos os dispositivos externos na empresa, incluindo telefones com botão de pressão.

A última abordagem é a mais radical, porém a mais efetiva.

Como todos os métodos semelhantes, o Air-Fi é muito lento e difícil de ser usado por cibercriminosos comuns para ataques diários. Mas pode ser do interesse de espiões industriais e atores estatais por causa de sua capacidade de trabalhar sem direitos de administrador. Mais informações sobre o método podem ser encontradas no texto completo do estudo (em inglês).

Dicas