air gap
Pesquisadores da Universidade da Coreia em Seul publicaram um artigo detalhando um novo método de roubo de dados de um computador que tem proteção máxima; conceitualmente, colocado em uma sala isolada e não conectado à Internet nem a uma rede local. Esse tipo de ataque pode servir como último recurso para um ator mal-intencionado quando nenhum outro método mais simples é viável.
A exfiltração de dados, neste caso, usa o alto-falante do computador: não algum dispositivo plug-in, mas uma relíquia dos primeiros computadores pessoais – o alto-falante interno, também conhecido como “alto-falante do PC”. As placas-mãe ainda apresentam um para fins de compatibilidade, e descobriu-se que esse alto-falante pode ser usado para exfiltração de dados.
Contexto
Publicamos várias histórias sobre métodos de roubo de dados. Aqui, por exemplo, é sobre uma escuta telefônica de smartphones usando seu acelerômetro embutido. Esta outra história é sobre dados sendo roubados pela manipulação do sinal de rádio da fonte de alimentação da CPU. A exfiltração de dados por meio do alto-falante embutido na placa-mãe pode parecer pouco sofisticada em comparação com esses dois métodos, mas não devemos esquecer que quanto mais simples o ataque, maiores as chances de sucesso. Além disso, um invasor não precisa de equipamento especializado para obter os dados preciosos: basta aproximar um smartphone do computador alvo.
Qualquer pesquisa desse tipo começa com a descrição de um cenário de ataque hipotético. Neste caso, é o seguinte: vamos pegar um computador governamental ou corporativo que contém informações secretas. Os dados são tão altamente classificados que o computador é isolado da internet e, possivelmente, até mesmo da rede interna, para maior segurança; mas o cenário implica que o computador ainda é infectado por spyware de uma forma ou de outra. No entanto, descobrir exatamente como isso ocorreu não é o assunto do artigo dos pesquisadores. Suponha que um espião conseguiu colocar um pen drive na sala segura e conectá-lo ao computador. Ou o computador pode ter sido infectado por meio de um ataque à cadeia de suprimentos antes mesmo de ser entregue à organização.
Então, o programa espião coletou os segredos, mas agora o invasor precisa de uma maneira de tirá-los de lá. No cenário utilizado pelos pesquisadores coreanos, o espião entra fisicamente na sala onde está o computador, trazendo consigo um smartphone com um software básico de gravação de som em execução. O spyware transmite os dados na forma de sinais de áudio em uma frequência tão alta que a maioria dos ouvidos humanos não consegue ouvi-los. O smartphone grava esse som, que é decodificado pelos invasores para restaurar os dados.
É importante ressaltar que pesquisas sobre exfiltração de dados por alto-falantes já foram realizadas antes. Esta pesquisa de 2018 feita em Israel demonstra uma maneira de dois computadores se comunicarem via ultrassom usando alto-falantes e um microfone embutido. Porém, esse método de ataque teórico tem uma falha: imagine um computador que controle equipamentos valiosos. A empresa realmente o equiparia com dispositivos de áudio externos adicionais para o conforto do operador? Assim, esse ataque só é viável se as informações protegidas estiverem armazenadas em um laptop, porque os laptops geralmente possuem alto-falantes de áudio integrados.
Os desafios de realizar uma invasão pelo ultrassom
Os pesquisadores coreanos sugerem que o invasor usaria o alto-falante embutido do PC. Em 1981, esse era o único dispositivo de som no primeiro PC IBM. Embora o alto-falante do PC produzisse apenas ruídos estridentes, alguns desenvolvedores de videogames conseguiram usar seus recursos brutos para criar trilhas sonoras decentes. Os PCs modernos raramente usam o alto-falante interno para algo além de diagnósticos. Se o computador simplesmente não inicializar, um técnico pode identificar os erros pelo número e duração dos tons que o alto-falante embutido está emitindo. O alto-falante original do PC dos anos 80 era uma unidade separada conectada à placa-mãe. As placas de circuito modernas geralmente têm um pequeno alto-falante soldado a elas.
Os pesquisadores coreanos precisavam demonstrar um canal de transferência de dados confiável que usa o alto-falante e, mais importante, prático. A parte da transmissão era bastante simples: “malware” rodando em uma máquina com Ubuntu Linux alternava entre bipes curtos de 18kHz e 19kHz, sendo o primeiro o “ponto” e o último – o “traço”. Isso pode ser usado para enviar informações em código Morse, que normalmente é usado para comunicação de rádio. Se você gravar esta transmissão de som (inaudível para a maioria dos humanos) em um smartphone, obterá algo como isto:
Espectrograma de sinais através do alto-falante embutido e gravado em um smartphone. As linhas na parte superior são “pontos” e “traços” que compõem os dados que estão sendo transmitidos.Fonte.
O espectrograma mostra os sons usados para codificar a palavra “encoberto”. Demorou cerca de quatro segundos para transferir apenas seis caracteres, portanto, o processo de exfiltração é lento, mas ainda utilizável para certos tipos de informações, como senhas e chaves de criptografia. As linhas em 18kHz e 19kHz são os sinais produzidos pelo alto-falante do computador. Seu volume é semelhante ao ruído de fundo dentro da sala, que pode ser visto na parte inferior do espectrograma.
Os pesquisadores realizaram vários experimentos para chegar às condições ideais para a transferência de dados: a taxa de dados tinha que ficar em ou abaixo de 20 bits por segundo para que os dados fossem recebidos de forma confiável a uma distância de até 1,5 metros. Desacelerar ainda mais a transmissão pode aumentar essa distância em cerca de meio metro. Colocar o telefone a centímetros de distância da unidade do sistema permitiu dobrar a taxa de transferência de dados. Qualquer coisa, exceto breves fragmentos de dados, levaria horas para ser transmitida, tornando um ataque impraticável.
Um isolamento não garante um sistema seguro
A transferência de dados de ultrassom é um método bem pesquisado que às vezes é usado para fins de consumo. Em um ambiente seguro, esse canal lateral representa uma ameaça. Os pesquisadores coreanos sugerem remover o alto-falante da placa-mãe como uma proteção contra esse tipo de ataque. No entanto, como sabemos de outros estudos, quando as apostas são altas e o adversário está empenhado em gastar tempo e recursos para atingir seu objetivo, é difícil se proteger contra todos os truques possíveis de exfiltração de dados. A remoção do alto-falante embutido ainda deixa a possibilidade de capturar ondas de rádio dos cabos SATA, da CPU ou do monitor, embora usando métodos muito mais sofisticados.
O isolamento máximo de qualquer computador que armazene dados secretos é imperativo. No entanto, é muito mais prático investir em um sistema de detecção de malware, lembrando que todo cenário de espionagem começa com invasores instalando malware no sistema de destino. No entanto, o trabalho dos pesquisadores coreanos nos ensina sobre novos canais secretos que podem ser usados para roubo de dados.
Dicas