{"id":25547,"date":"2020-06-15T14:04:01","date_gmt":"2020-06-15T12:04:01","guid":{"rendered":"https:\/\/www.kaspersky.nl\/blog\/?p=25547"},"modified":"2020-06-15T14:04:01","modified_gmt":"2020-06-15T12:04:01","slug":"jumping-over-air-gap","status":"publish","type":"post","link":"https:\/\/www.kaspersky.nl\/blog\/jumping-over-air-gap\/25547\/","title":{"rendered":"Kunnen cybercriminelen een air gap omzeilen?"},"content":{"rendered":"

Internet staat gelijk aan problemen. Daarom is een van de meest radicale manieren om een computer te beveiligen die extreem waardevolle informatie bevat of een kritiek proces beheert om deze helemaal niet met het internet te verbinden, of misschien zelfs niet eens met een netwerk, zelfs geen lokaal netwerk. Dit soort fysieke isolatie wordt ook wel een air gap<\/em> genoemd.<\/p>\n

Geen verbinding, geen problemen, toch? Helaas klopt dit niet helemaal, want er bestaan een aantal sluwe manieren om gegevens zelfs van air-gapped<\/em> apparaten te exfiltreren. Een groep onderzoekers van de Isra\u00eblische Ben-Gurion Universiteit heeft zich onder leiding van Mordechai Guri in dit soort methodes voor gegevensdiefstal gespecialiseerd. Wij leggen uit wat hun bevindingen zijn en of u zich zorgen moet maken.<\/p>\n

Hoe omzeilt men een air gap<\/em>?<\/h2>\n

Dat air-gapped<\/em> systemen kwetsbaar zijn is niets nieuws. Supply-chain-aanvallen en omgekochte insiders zijn altijd een mogelijkheid. De eenvoudigste aanvallen gebruiken bijvoorbeeld een ge\u00efnfecteerde usb-stick; dat is ook hoe het legendarische Stuxnet begon<\/a>.<\/p>\n

Goed, dus de computer raakt ge\u00efnfecteerd, maar hoe kan het dan dat iemand de gegevens ervan steelt zonder internetverbinding?<\/p>\n

Daar komen vindingrijkheid en natuurkunde elkaar tegen. Een computer kan fysiek ge\u00efsoleerd zijn en geen signalen over netwerken verzenden, maar hij genereert nog altijd warmte, magnetische velden en geluid. En via dit soort minder voor de hand liggende kanalen kan iemand uw informatie overhevelen.<\/p>\n

Ultrasound<\/h2>\n

Zelfs een computer zonder speakers of audio-apparatuur kan geluiden maken binnen het bereik 20 Hz\u201324 KHz (als u bijvoorbeeld de frequentie van de voeding verandert)<\/a>. Sterker nog: zelfs een apparaat zonder aparte microfoon kan u afluisteren, omdat speakers of koptelefoons kunnen worden gemanipuleerd<\/a> om dit te doen. Een aanzienlijke gedeelte van het hierboven genoemde bereik (18 KHz\u201324 KHz, om precies te zijn) is niet hoorbaar voor het menselijk oor, en daar kan op tal van manieren gebruik van worden gemaakt. Thuis kan dit bereik bijvoorbeeld een smart speaker activeren<\/a>.<\/p>\n

Relevanter in dit geval is dat iemand een computer met malware kan infecteren die informatie kan versleutelen en die via ultrasound verzendt. Dit wordt dan weer opgepikt door een ander ge\u00efnfecteerd apparaat in de buurt (bijvoorbeeld een smartphone) en naar de buitenwereld verzonden. Andere methodes die onderzoekers hebben ontdekt benutten de geluiden die door de ventilatoren<\/a> en harde schijven<\/a> van de computer worden gemaakt.<\/p>\n

Elektromagnetisme<\/h2>\n

Vergeet ook het goede oude elektromagnetisme niet. Een elektrische stroom cre\u00ebert een elektromagnetisch veld dat kan worden opgepikt en omgezet in een elektrisch signaal. Door deze stroom te beheren, kunt u dit veld beheren. Met deze kennis kunnen aanvallers malware gebruiken om een reeks signalen naar het scherm te sturen en de monitorkabel in een soort antenne te veranderen. Door het aantal en de frequentie van de verzonden bytes te manipuleren, kunnen ze radiogolven opwekken die door een FM-ontvanger kunnen worden gedetecteerd. En dat, dames en heren, is de modus operandi achter AirHopper<\/a>.<\/p>\n

Andere methodes maken gebruik van GSMem<\/a>-malware om golven van de geheugenbus van de computer te exploiteren. Deze malware, vergelijkbaar met AirHopper, verzendt een vaste reeks nullen en enen langs de geheugenbus, waardoor er variaties in de elektromagnetische straling worden veroorzaakt. Het is mogelijk om in deze variaties informatie te versleutelen en die op te pikken met gebruik van een normale mobiele telefoon die op de GSM-, UMTS- of LTE-frequentieband opereert, zelfs een telefoon zonder een ingebouwde FM-radio.<\/p>\n

Het algemene principe is duidelijk: bijna elk computercomponent kan dienst doen als antenne. Ander onderzoek omvat methodes voor het verzenden van data met gebruik van de straling van de Universal Serial Bus (USB)<\/a>, GPIO-interface<\/a> en stroomkabels<\/a>.<\/p>\n

Magnetisme<\/h2>\n

Een bijzonder kenmerk van de magneet-gebaseerde methodes is dat die in sommige gevallen zelfs in een kooi van Faraday kunnen werken, die elektromagnetische straling blokkeert en dus als zeer betrouwbare bescherming wordt beschouwd.<\/p>\n

Met magnetisme voor exfiltratie<\/a> maakt men gebruik van magnetische straling van de hoge frequentie die CPU\u2019s genereren en die door de metalen behuizing heengaat. Dit is bijvoorbeeld de straling die ervoor zorgt dat een compas in een kooi van Faraday kan werken. De onderzoekers ontdekten dat ze door de lading op de kernen van een processor via software te manipuleren de magnetische straling konden beheren. Ze hoefden alleen maar een ontvanger vlakbij de kooi te plaatsen. Guri\u2019s team meldde een bereik van 1,5 meter. Om informatie te ontvangen gebruikten de onderzoekers een magnetische sensor die verbonden was met de seri\u00eble poort van een computer in de buurt.<\/p>\n

Optica<\/h2>\n

Alle computers, air-gapped<\/em> of niet, hebben led-lampjes, en door te beheren hoe die knipperen (opnieuw dankzij malware), kan een aanvaller geheimen van een ge\u00efsoleerde machine ontfutselen.<\/p>\n

Deze gegevens kunnen bijvoorbeeld worden gestolen door een bewakingscamera in de kamer te hacken. Zo werken LED-it-GO<\/a> en xLED<\/a> bijvoorbeeld. Wat betreft aIR-Jumper<\/a>: camera\u2019s kunnen zowel met infiltratie- als exfiltratiemechanismes werken; ze zijn in staat om infraroodstraling te verzenden \u00e9n op te vangen, en dit is onzichtbaar voor het menselijk oog.<\/p>\n

Thermodynamica<\/h2>\n

Een ander onverwacht kanaal voor het verzenden van gegevens vanaf een ge\u00efsoleerd systeem is hitte. De lucht binnen een computer wordt opgewarmd door de CPU, videokaart, harde schijf en nog veel andere randapparatuur (het zou makkelijker zijn om de delen op te noemen die g\u00e9\u00e9n warmte genereren). Computers zijn ook voorzien van ingebouwde temperatuursensoren om ervoor te zorgen dat onderdelen niet te warm worden.<\/p>\n

Als \u00e9\u00e9n air-gapped<\/em> computer door malware wordt ge\u00efnstrueerd om de temperatuur te wijzigen, kan een tweede (online) machine deze wijzigingen vastleggen en in begrijpelijke informatie omzetten, en deze gegevens vervolgens verzenden. Computers moeten redelijk dicht bij elkaar staan om met elkaar te kunnen communiceren door middel van thermische signalen: niet meer dan 40 centimeter afstand. Een voorbeeld waarbij van deze methode gebruik wordt gemaakt is BitWhisper<\/a>.<\/p>\n

Seismische golven<\/strong><\/h2>\n

Vibratie is het laatste soort gegevensoverdragende straling dat de experts onderzochten. Malware manipuleert ook hier de snelheid van de ventilatoren van de computer, maar in dit geval versleutelt het de doelinformatie in trillingen en niet in geluiden. Een versnellingsmeter-app op een smartphone die op hetzelfde oppervlak als de computer ligt vangt deze golven op.<\/p>\n

Het nadeel van deze methode is de zeer lage snelheid van betrouwbare gegevensoverdracht: ongeveer 0,5 bps. Daardoor kan het verzenden van een paar kilobytes al een paar dagen duren. Als de aanvaller echter geen haast heeft, is dit een bruikbare methode.<\/p>\n

Is het tijd om ons zorgen te maken?<\/h2>\n

Allereerst is er goed nieuws: de methodes voor gegevensdiefstal die hierboven staan beschreven zijn erg complex, dus het is niet waarschijnlijk dat iemand die zal gebruiken om uw financi\u00eble gegevens of klantendatabases zal stelen. Als de gegevens waar u mee werkt echter interessant zijn voor buitenlandse inlichtingendiensten of industri\u00eble spionnen, moet u zich op zijn minst bewust zijn van deze gevaren.<\/p>\n

Zo blijft u beschermd<\/h2>\n

Een simpele maar effectieve manier om diefstal van vertrouwelijke informatie te voorkomen is om alle soorten apparaten van buitenaf te verbieden, inclusief alle soorten mobiele telefoons op de werkvloer. Als dat niet kan of als u aanvullende veiligheidsmaatregelen wilt nemen, overweeg dan het volgende:<\/p>\n