{"id":26573,"date":"2021-01-07T15:58:17","date_gmt":"2021-01-07T13:58:17","guid":{"rendered":"https:\/\/www.kaspersky.nl\/blog\/?p=26573"},"modified":"2021-01-07T15:58:17","modified_gmt":"2021-01-07T13:58:17","slug":"rc3-etherify","status":"publish","type":"post","link":"https:\/\/www.kaspersky.nl\/blog\/rc3-etherify\/26573\/","title":{"rendered":"Ethernet, nu uitgezonden"},"content":{"rendered":"

Tijdens het Chaos Communication Congress eind afgelopen jaar presenteerde onderzoeker en radioamateur Jacek Lipkowski de resultaten van zijn experimenten<\/a> met betrekking tot het exfiltreren van gegevens van een ge\u00efsoleerd netwerk met gebruik van elektromagnetische straling op de achtergrond, gegenereerd door netwerkuitrustingen. Lipkowski\u2019s presentatie was misschien de laatste, maar zeker niet de enige: er worden verontrustend vaak nieuwe methodes voor het exfiltreren van informatie van computers en netwerken die achter een air gap zitten ontdekt.<\/p>\n

Elk soort bedrading kan als antenne fungeren, en aanvallers die een ge\u00efsoleerd netwerk infiltreren en hun code uitvoeren, zouden in theorie een antenne kunnen gebruiken om gegevens naar de buitenwereld te verzenden \u2014 ze zouden dan alleen de straling met software moeten moduleren.<\/p>\n

Lipkowski besloot de haalbaarheid van zo\u2019n plan te testen met gebruiken van conventionele ethernet-netwerken voor die gegevensoverdracht.<\/p>\n

Eerst even een waarschuwing: de onderzoeker gebruikte vooral het Raspberry Pi 4 model B in zijn experimenten, maar hij zegt dat hij overtuigd is dat de resultaten ook te behalen zijn met andere met ethernet verbonden apparaten \u2014 of op zijn minst embedded<\/em> apparaten. Hij gebruikte morsecode om de data te verzenden. Het is niet de effici\u00ebntste methode, maar hij is eenvoudig te implementeren; elke radioamateur kan het signaal met een radio ontvangen en het bericht ontcijferen door ernaar te luisteren, waardoor morsecode een goede optie is om de kwetsbaarheid in kwestie aan te tonen, die de auteur Etherify noemde.<\/p>\n

Experiment 1: Frequentie moduleren<\/h2>\n

Moderne ethernet-controllers gebruiken de gestandaardiseerde media-independent interface<\/em> (MII). De MII zorgt voor gegevensoverdracht op verschillende frequenties, afhankelijk van de bandbreedte: 2,5 MHz bij 10 Mbit\/s, 25 MHz bij 100 Mbit\/s en 125 MHz bij 1 Gbit\/s. Netwerkapparaten staan tegelijkertijd schakeling van bandbreedte en corresponderende wijzigingen in de frequentie toe.<\/p>\n

De frequenties van gegevensoverdracht, die verschillende elektromagnetische straling van de bedrading genereren, zijn de \u201cschakelaars\u201d die gebruikt kunnen worden voor signaalmodulatie. Een simpel script \u2014 met bijvoorbeeld het gebruik van een 10 Mbit\/s-inteferentie als 0 en 100 Mbit\/s-interferentie als 1 \u2014 kunnen een netwerk-controller opdragen om gegevens op de ene of andere snelheid over te dragen, en genereren zo dus in principes punten en streepjes van morsecode die een radio-ontvanger eenvoudig kan opvangen tot op 100 meter afstand.<\/p>\n

Experiment 2: Gegevensoverdracht<\/h2>\n

Het schakelen tussen de snelheid van gegevensoverdracht is niet de enige manier om een signaal te moduleren. Een andere methode maakt gebruik van variaties in de achtergrondstraling van werkende netwerkuitrustingen; malware op een ge\u00efsoleerde computer kan bijvoorbeeld het standaard netwerkhulpprogramma gebruiken om de verbindingsintegriteit te verifi\u00ebren (ping-f\u00a0) om het kanaal met gegevens te laden. Overdrachtsonderbrekingen en -hervattingen kunnen tot op 30 meter afstand te horen zijn.<\/p>\n

Experiment 3: U hebt geen bedrading nodig<\/h2>\n

Het derde experiment was niet gepland, maar de resultaten waren toch interessant. Tijdens de eerste test vergat Lipkowski om een kabel aan het overdrachtsapparaat te bevestigen, maar hij kon nog altijd de verandering in de gegevensoverdrachtssnelheid van de controller horen op 50 meter afstand. Dat betekent over het algemeen dat er gegevens vanaf een ge\u00efsoleerde machine kunnen worden verzonden zolang de machine maar een netwerk-controller heeft, ongeacht of die met een netwerk is verbonden. De meeste moderne moederborden hebben een ethernet-controller.<\/p>\n

Verdere experimenten<\/h2>\n

De Air-Fi-methode voor gegevensoverdracht is over het algemeen reproduceerbaar op kantoorapparaten (laptops, routers), maar met vari\u00ebrende effectiviteit. De laptop-netwerkcontrollers die Lipkowski bijvoorbeeld gebruikte om te proberen het initi\u00eble experiment te reproduceren, maakten gedurende een paar seconden verbinding na elke wijziging in de gegevenssnelheid, wat de gegevensoverdracht met gebruik van morsecode aanzienlijk vertraagde (hoewel de onderzoeker er wel in slaagde om een simpel bericht over te brengen). De maximale afstand van de apparatuur hangt ook erg af van specifieke modellen. Lipkowski blijft zich met experimenten op dit gebied bezig houden.<\/p>\n

Praktische waarde<\/h2>\n

In tegenstelling tot wat veel mensen denken, worden ge\u00efsoleerde netwerken achter air gaps niet alleen gebruikt in supergeheime laboratoria en faciliteiten voor kritieke infrastructuur, maar ook in normale bedrijven, die ook vaak ge\u00efsoleerde apparaten gebruiken, zoals hardware-beveiligingsmodules (voor het beheren van digitale sleutels, het versleutelen en decoderen van digitale signatures en andere cryptografische behoeften) of speciale ge\u00efsoleerde werkstations (zoals lokale certificeringsauthoriteiten of CA\u2019s). Als uw bedrijf zoiets gebruikt, houd er dan rekening mee dat er ondanks het air gap informatie uit het systeem gelekt kan worden.<\/p>\n

Dat gezegd hebbende, Lipkowski gebruikte een vrij goedkope USB-ontvanger. Hackers met meer middelen kunnen zich waarschijnlijk ook gevoeliger materiaal veroorloven, waardoor het bereik ook verbeterd wordt.<\/p>\n

Wat betreft praktische maatregelen om uw bedrijf tegen dit soort lekken te beschermen, herhalen we een aantal van de gebruikelijke tips:<\/p>\n