Ethernet, nu uitgezonden

Tijdens het Chaos Communication Congress eind afgelopen jaar presenteerde onderzoeker en radioamateur Jacek Lipkowski de resultaten van zijn experimenten met betrekking tot het exfiltreren van gegevens van een geïsoleerd netwerk met gebruik van elektromagnetische straling op de achtergrond, gegenereerd door netwerkuitrustingen. Lipkowski’s presentatie was misschien de laatste, maar zeker niet de enige: er worden verontrustend vaak nieuwe methodes voor het exfiltreren van informatie van computers en netwerken die achter een air gap zitten ontdekt.

Elk soort bedrading kan als antenne fungeren, en aanvallers die een geïsoleerd netwerk infiltreren en hun code uitvoeren, zouden in theorie een antenne kunnen gebruiken om gegevens naar de buitenwereld te verzenden — ze zouden dan alleen de straling met software moeten moduleren.

Lipkowski besloot de haalbaarheid van zo’n plan te testen met gebruiken van conventionele ethernet-netwerken voor die gegevensoverdracht.

Eerst even een waarschuwing: de onderzoeker gebruikte vooral het Raspberry Pi 4 model B in zijn experimenten, maar hij zegt dat hij overtuigd is dat de resultaten ook te behalen zijn met andere met ethernet verbonden apparaten — of op zijn minst embedded apparaten. Hij gebruikte morsecode om de data te verzenden. Het is niet de efficiëntste methode, maar hij is eenvoudig te implementeren; elke radioamateur kan het signaal met een radio ontvangen en het bericht ontcijferen door ernaar te luisteren, waardoor morsecode een goede optie is om de kwetsbaarheid in kwestie aan te tonen, die de auteur Etherify noemde.

Experiment 1: Frequentie moduleren

Moderne ethernet-controllers gebruiken de gestandaardiseerde media-independent interface (MII). De MII zorgt voor gegevensoverdracht op verschillende frequenties, afhankelijk van de bandbreedte: 2,5 MHz bij 10 Mbit/s, 25 MHz bij 100 Mbit/s en 125 MHz bij 1 Gbit/s. Netwerkapparaten staan tegelijkertijd schakeling van bandbreedte en corresponderende wijzigingen in de frequentie toe.

De frequenties van gegevensoverdracht, die verschillende elektromagnetische straling van de bedrading genereren, zijn de “schakelaars” die gebruikt kunnen worden voor signaalmodulatie. Een simpel script — met bijvoorbeeld het gebruik van een 10 Mbit/s-inteferentie als 0 en 100 Mbit/s-interferentie als 1 — kunnen een netwerk-controller opdragen om gegevens op de ene of andere snelheid over te dragen, en genereren zo dus in principes punten en streepjes van morsecode die een radio-ontvanger eenvoudig kan opvangen tot op 100 meter afstand.

Experiment 2: Gegevensoverdracht

Het schakelen tussen de snelheid van gegevensoverdracht is niet de enige manier om een signaal te moduleren. Een andere methode maakt gebruik van variaties in de achtergrondstraling van werkende netwerkuitrustingen; malware op een geïsoleerde computer kan bijvoorbeeld het standaard netwerkhulpprogramma gebruiken om de verbindingsintegriteit te verifiëren (ping-f ) om het kanaal met gegevens te laden. Overdrachtsonderbrekingen en -hervattingen kunnen tot op 30 meter afstand te horen zijn.

Experiment 3: U hebt geen bedrading nodig

Het derde experiment was niet gepland, maar de resultaten waren toch interessant. Tijdens de eerste test vergat Lipkowski om een kabel aan het overdrachtsapparaat te bevestigen, maar hij kon nog altijd de verandering in de gegevensoverdrachtssnelheid van de controller horen op 50 meter afstand. Dat betekent over het algemeen dat er gegevens vanaf een geïsoleerde machine kunnen worden verzonden zolang de machine maar een netwerk-controller heeft, ongeacht of die met een netwerk is verbonden. De meeste moderne moederborden hebben een ethernet-controller.

Verdere experimenten

De Air-Fi-methode voor gegevensoverdracht is over het algemeen reproduceerbaar op kantoorapparaten (laptops, routers), maar met variërende effectiviteit. De laptop-netwerkcontrollers die Lipkowski bijvoorbeeld gebruikte om te proberen het initiële experiment te reproduceren, maakten gedurende een paar seconden verbinding na elke wijziging in de gegevenssnelheid, wat de gegevensoverdracht met gebruik van morsecode aanzienlijk vertraagde (hoewel de onderzoeker er wel in slaagde om een simpel bericht over te brengen). De maximale afstand van de apparatuur hangt ook erg af van specifieke modellen. Lipkowski blijft zich met experimenten op dit gebied bezig houden.

Praktische waarde

In tegenstelling tot wat veel mensen denken, worden geïsoleerde netwerken achter air gaps niet alleen gebruikt in supergeheime laboratoria en faciliteiten voor kritieke infrastructuur, maar ook in normale bedrijven, die ook vaak geïsoleerde apparaten gebruiken, zoals hardware-beveiligingsmodules (voor het beheren van digitale sleutels, het versleutelen en decoderen van digitale signatures en andere cryptografische behoeften) of speciale geïsoleerde werkstations (zoals lokale certificeringsauthoriteiten of CA’s). Als uw bedrijf zoiets gebruikt, houd er dan rekening mee dat er ondanks het air gap informatie uit het systeem gelekt kan worden.

Dat gezegd hebbende, Lipkowski gebruikte een vrij goedkope USB-ontvanger. Hackers met meer middelen kunnen zich waarschijnlijk ook gevoeliger materiaal veroorloven, waardoor het bereik ook verbeterd wordt.

Wat betreft praktische maatregelen om uw bedrijf tegen dit soort lekken te beschermen, herhalen we een aantal van de gebruikelijke tips:

• Implementeer zonering en perimetercontrole. Hoe dichter een potentiële aanvaller bij de kamers die geïsoleerde netwerken of apparaten bevatten kan komen, hoe groter de kans dat ze signalen kunnen opvangen.
• Gebruik metaal om elke kamer waar kritieke uitrustingen zijn opgeslagen te isoleren, waardoor er een Kooi van Faraday ter bescherming wordt gecreëerd.
• Scherm netwerkkabels af. Hoewel het in theorie geen perfecte oplossing is, kan het afschermen van kabels de zone waarin elektromagnetische schommelingen kunnen worden ontvangen flink beperken. In combinatie met zonering kan dit voldoende bescherming bieden.
• Installeer systemen voor controle op verdachte processen in de geïsoleerde systemen. Aanvallers moeten tenslotte eerst een computer infecteren voordat ze de gegevens ervan naar de buitenwereld kunnen verzenden. Met behulp van speciale software kunt u ervoor zorgen dat kritieke systemen malware-vrij blijven.