Hoe Fansmitter Malware gegevens steelt van Air-Gapped Computers

Als het gaat om computerbeveiliging, is de ultieme bescherming de luchtspleet: een fysieke ruimte tussen een computer en internet om ervoor te zorgen dat het apparaat volledig is geïsoleerd van de gevaarlijke wereld van hacking.





Maar hoewel computers met luchtgaten een effectieve manier zijn om ze te beschermen, is het niet perfect. In de afgelopen jaren hebben computerbeveiligingsexperts verschillende duivelse strategieën bedacht om informatie uit deze apparaten te extraheren. Een daarvan is om de ingebouwde luidsprekers van de computer te besturen en deze te gebruiken om gegevens ultrasoon naar een nabijgelegen opnameapparaat te sturen, zoals een mobiele telefoon. Sommige beveiligingsonderzoekers beweren inderdaad precies dit soort ultrasone malware in het wild te hebben gezien.

De beste tegenmaatregel voor dit soort aanvallen ligt voor de hand: verwijder de luidsprekers. Zonder luidsprekers om geluid te genereren, kan een computer geen gegevens akoestisch lekken. Of dat dacht iedereen.

Vandaag zeggen Mordechai Guri en zijn vrienden van de Ben-Gurion Universiteit in Israël dat ze een andere manier hebben gevonden om computers met luchtgaten te hacken, dit keer door de ventilator van de computer te besturen en de rotatiesnelheid ervan aan te passen om het geluid dat het produceert te regelen. Ze noemen deze nieuwe aanpak een fansmitter.



Fansmitters zijn in principe eenvoudig. Bijna alle computers gebruiken ventilatoren om de hoofd-CPU en de grafische kaart te koelen en om lucht door het chassis te pompen. Wanneer ze normaal werken, is het belangrijkste geluid dat door deze ventilatoren wordt geproduceerd het resultaat van roterende bladen die lucht langs statische schoepen stuwen.

De frequentie van dit geluid hangt af van het aantal bladen en hun rotatiesnelheid. Het is meestal in het gebied van honderden hertz. Elke wijziging in deze rotatiesnelheid verandert de frequentie van het geluid.

Dit is de basis van hun aanpak. Deze jongens hebben malware gemaakt die de rotatiesnelheid, en dus het geluid, van een computerventilator verandert om gegevens te coderen.



De malware verzendt informatie met behulp van een speciaal protocol waarin de informatie wordt opgedeeld in pakketten bestaande uit een preambule en een payload. De preambule bestaat uit het signaal 1010, dat een afluisterapparaat kan gebruiken voor kalibratie. Dit wordt gevolgd door een payload van 12 bits die de gegevens coderen die moeten worden verzonden. Dit kan worden opgevangen door elk afluisterapparaat in de buurt, zoals een smartphone.

Een potentieel probleem is dat een gebruiker de variaties in ventilatorgeluid kan opmerken en achterdochtig wordt. Dus Guri en co gebruiken lage frequenties van 140 tot 170 hertz, die voor mensen moeilijker te horen zijn. Het moduleren van de gegevens over verandering van nabije frequenties valt ook minder op voor een gebruiker, omdat het opgaat in en verschijnt als natuurlijk achtergrondgeluid, zeggen ze.

Ten slotte heeft het team hun malware op de proef gesteld door het te gebruiken om zowel een CPU-ventilator als een chassisventilator te besturen, die beide gebruikelijk zijn op moderne computers. Als ontvanger gebruikten ze een Samsung Galaxy S4-smartphone met een microfoonsampling op 44,1 hertz. De testomgeving was hun computerlab met gewoon achtergrondgeluid, zeven werkstations, verschillende netwerkswitches en een actief airconditioningsysteem.



De snelheid waarmee het team informatie kon verzenden, werd beperkt door de afstand tussen de smartphone en de computer en door de hoeveelheid achtergrondgeluid. Toch konden ze zenden met snelheden tot 900 bits per uur. Met behulp van onze methode hebben we met succes gegevens van een air-gapped computer zonder audiohardware naar een smartphone-ontvanger in dezelfde kamer verzonden, zo roemen het team.

Guri en co zeggen dat de techniek ook op andere apparaten kan worden toegepast. We laten zien dat onze methode ook kan worden gebruikt om gegevens te lekken van verschillende soorten IT-apparatuur, embedded systemen en IoT-apparaten die geen audiohardware hebben, maar fans van verschillende soorten en maten bevatten, zeggen ze.

Dat is interessant werk dat computerbeveiligingsexperts nog een reden zal geven om zich zorgen te maken. Tegenmaatregelen zijn talrijk en relatief eenvoudig. Het meest voor de hand liggend is om gevoelige computers in beperkte gebieden te houden waar mobiele telefoons en andere opnameapparaten zijn verboden. Een andere is om zoveel achtergrondgeluid te genereren dat akoestische transmissies onmogelijk zijn. Dan is er de mogelijkheid om ventilatoren te vervangen door gespecialiseerde stille of in plaats daarvan waterkoeling te gebruiken.



Maar al deze voegen nog een extra laag van voorzorg en complexiteit toe aan een toch al overbelaste computerbeveiligingsindustrie. De waarheid is dat het onmogelijk is om perfecte beveiliging te bereiken. Het enige dat kan worden gegarandeerd, is dat als u zich zorgen maakt over het lekken van informatie op uw computer, u slapeloze nachten voor de boeg zult hebben.

Referentie: arxiv.org/abs/1606.05915 : Fansmitter: akoestische data-exfiltratie van (luidsprekerloze) air-gapped computers

zich verstoppen