Vazamentos de rádio: como fazer a CPU revelar seus segredos

É possível roubar dados de uma rede isolada manipulando o conversor de comutação de tensão.

O pesquisador de segurança israelense Mordechai Guri, da Universidade Ben-Gurion, publicou um estudo sobre outro método de vazamento de dados de uma rede com air gap. Desta vez, ele encontrou uma maneira de transmitir dados usando ondas de rádio da CPU, mais especificamente de sua fonte de alimentação. Esse método de roubo de dados exige que o invasor não esteja a mais de alguns metros de distância da CPU. Guri se lembrou das regras de distanciamento social durante a pandemia do COVID-19, daí o nome um tanto estranho, COVID-bit.

Guri é um especialista nos métodos de vazamento de dados mais bizarros. Ele pesquisa consistentemente a segurança de redes de computadores isoladas, nas quais demonstra claramente a tolice de confiar apenas no método de isolamento físico air gap ao construir um modelo de segurança. A maioria dos métodos descobertos por Guri e seus colegas funciona sob certas condições – quando os invasores conseguiram de alguma forma instalar spyware em um computador especialmente protegido e agora precisam extrair os dados coletados. E isso precisa ser feito de forma discreta, sem conexão com a internet e, quando possível, por meio de equipamentos de informática já utilizados pela vítima.

Conversor de comutação como transmissor

Desta vez, Guri explorou a possibilidade de aplicar o princípio operacional de comutação de tensão para extrair dados. Qualquer fonte de alimentação para um telefone ou laptop é basicamente um conversor de comutação AC para DC. As fontes de alimentação chaveadas são mais compactas do que as lineares, mas por sua própria natureza emitem muita interferência de rádio. Acima de tudo, irritam os radioamadores que operam em ondas médias e curtas, em que a radiação parasita dessas fontes de alimentação é especialmente perceptível.

Conversores de tensão semelhantes estão presentes em muitos computadores pessoais, alguns dos quais são usados ​​para alimentar a CPU. Todas as CPUs modernas usam um sistema de tensão dinâmica e variação de frequência. Tal sistema torna possível reduzir o consumo de energia quando a CPU está ociosa: você pode diminuir sua frequência e tensão, então aumentá-los drasticamente quando uma nova tarefa computacional aparecer.

Como no cenário estudado o invasor já controla o computador da vítima com malware, ele consegue manipular de alguma forma a carga da CPU e com ela a frequência e a voltagem. Mas como? Guri descobriu que a radiação parasita de um conversor de tensão de comutação muda de forma quando a tensão de operação é alterada. E a tensão varia dependendo da carga. Ou seja, ao aplicar uma carga na CPU em um intervalo específico, você pode gerar um sinal de rádio em uma determinada frequência.

A frequência de transmissão do sinal pode ser definida carregando e descarregando alternadamente a CPU neste intervalo específico, milhares de vezes por segundo. O tipo de carga (ou seja, o que a CPU é solicitada a calcular) não importa: ela é executada apenas para gerar um sinal de rádio de uma determinada forma. A CPU sob carga requer uma mudança na tensão de alimentação, o conversor de tensão cria interferência de rádio e os condutores da placa-mãe atuam como uma antena. Aqui está a aparência do sinal de rádio resultante:

Representação em um espectro de um sinal de rádio emitido por computador. <a href="https://arxiv.org/pdf/2212.03520.pdf" target="_blank">Fonte</a>.

Representação em um espectro de um sinal de rádio emitido por computador. Fonte.

A imagem mostra o espectro de um sinal de rádio com frequência de 2 a 6 kilohertz. Para a transmissão de dados, é usado o método de chaveamento de frequência, em que a frequência do sinal varia dependendo dos dados transmitidos. Essa é a razão pela qual vemos duas “linhas” de transmissão em frequências diferentes. A cor, que vai do verde ao vermelho, indica a potência, da qual podemos concluir que o sinal de rádio da CPU é bastante fraco, apenas um pouco mais forte que a interferência vista na parte inferior da imagem. Observe a linha do tempo: a palavra “SECRETO” é transmitida por aproximadamente 10 segundos. Esse método de roubo de dados é muito lento, mas para certos tipos de informações confidenciais pode ser suficiente. Se necessário, a taxa de transmissão pode ser aumentada carregando vários núcleos de CPU simultaneamente (mas de forma diferente).

Recebendo segredos por telefone

Guri também discute detalhadamente a questão da recepção. Um sinal de rádio de baixa potência pode, na realidade, ser recebido a uma distância não superior a 2 metros de um sistema isolado.

Cenário de roubo de dados COVID-bit: um invasor se move a uma distância mínima do computador sem chamar a atenção. <a href="https://arxiv.org/pdf/2212.03520.pdf" target="_blank">Fonte</a>.

Cenário de roubo de dados COVID-bit: um invasor se move a uma distância mínima do computador sem chamar a atenção. Fonte.

A figura mostra um dos cenários possíveis: um invasor visita o escritório da vítima e extrai informações secretas de uma máquina infectada. A extração de dados também pode ser realizada por um funcionário subornado da organização de destino. Em ambos os casos, é improvável que os criminosos consigam carregar equipamentos de rádio volumosos com eles, e é por isso que o estudo destaca um método para receber informações classificadas via smartphone.

A maioria dos smartphones não está equipada com um receptor de rádio de ondas médias, mas é possível se contentar com um chip de áudio. Um conversor analógico-digital no smartphone é capaz de digitalizar ondas de rádio com frequência de até 24 kilohertz, então é preciso inserir uma antena no conector do fone de ouvido. Pode não ser o ideal, mas, como mostra a prática, dá conta do recado.

A técnica de vazamento de dados resultante é bastante eficaz (pelos padrões de ataques a sistemas isolados protegidos, é claro). Além da forma “lenta” de roubo de dados mostrada acima, Guri também testou métodos de transmissão mais rápidos, alguns dos quais atingem velocidades de até 1000 bps. Isso é suficiente para transferir um endereço IP em um instante, uma chave de criptografia em 4 segundos e pequenos arquivos em minutos.

Atividade contraespiões

O estudo lista devidamente possíveis maneiras de neutralizar esse método de infiltração e roubo de dados. O mais simples é mesmo o distanciamento social – não permitir que estranhos se aproximem de computadores protegidos a menos de 2 metros. E há alguns um pouco mais complexos: você pode, por exemplo, sufocar a transferência de dados carregando a CPU com suas próprias tarefas. Isso desperdiça energia, mas evita vazamentos de forma confiável. Curiosamente, travar a CPU em uma determinada frequência, apesar de reduzir a potência do sinal, não descarta a transmissão de dados. A carga variável na CPU produz interferência que ainda pode ajudar um espião, mesmo em uma frequência constante.

É ainda mais inútil tentar rastrear a transmissão secreta de sinais de rádio: é muito semelhante à operação normal do hardware do computador. Guri demonstra que para cada forma de aumentar o isolamento de um computador, existe um novo método de extração de dados por meio de canais de terceiros. Muitas coisas dentro do computador geram interferência e ruídos que podem ser manipulados. Muito melhor simplesmente aceitar como um fato que um isolamento em si não oferece segurança total. Você neutraliza o risco de um ataque da Internet, mas não outras formas de ciberataques. Isso significa que a proteção eficaz de sistemas isolados é impossível sem ferramentas para detectar e impedir malware. Ou melhor, sem um sistema de segurança abrangente que leva em consideração todos os aspectos de uma rede segura dedicada.

Dicas

Wi-Fi falso a bordo

Mesmo em altitude de cruzeiro, as ameaças cibernéticas ainda podem tornar sua vida digital turbulenta, como comprovado por uma prisão recente. Como se proteger a 30 mil pés acima do nível do mar?