Uma equipa de cientistas de uma universidade israelita provou a possibilidade de roubo de dados de computadores “air-gapped” através das ventoinhas instaladas dentro de um computador através da criação vibrações controladas.
Esta técnica, a que foi dado o nome AiR-ViBeR, é a última numa longa lista de técnicas de roubo de dados inventadas por Mordechai Guri, o chefe de pesquisa e desenvolvimento da Universidade Ben-Gurion em Israel.
Nos últimos anos, Guri tem descoberto métodos de envio de dados sem ser detectados a partir de sistemas “air-gapped”, máquinas ou redes locais isoladas, sem qualquer ligação à Internet, que são utilizadas por entidades governamentais ou empresas para guardar dados sensíveis, como ficheiros secretos ou propriedade intelectual.
Este trabalho não utiliza as técnicas clássicas de apenas infectar o computador com malware para roubar dados, em vez disso foca-se em formas nunca antes usadas para extrair os dados sem ser detectado, tão inovadoras que não existe defesa possível.
Algumas das técnicas de roubo de dados inventadas pela equipa de Guri nos últimos anos foram:
LED-it-Go – roubo de dados através da monitorização da luz LED dos discos rígidos.
USBee – Forçar o barramento de dados de uma tomada USB a emitir radiação electromagnética que pode ser usada para roubar dados.
AirHopper – Usar uma placa gráfica para emitir sinais electromagnéticos para um smartphone usado para roubar dados.
Fansmitter – Roubar dados de um computador através do som emitido pela ventoinha de uma placa gráfica.
DiskFiltration – Usar operações de escrita e leitura controladas num disco rígido para roubar dados através de ondas sonoras.
BitWhisper – Roubar dados de computadores que não estejam ligados a uma rede através das emanações de calor.
Unnamed Attack – Usar um scanner para retransmitir comandos para PC infectados com malware para o roubo de dados.
xLED – Usar os LED de um router ou switch para roubar dados.
aIR-Jumper – Usar a funcionalidade de captação de imagem em infravermelhos de uma câmara de vigilância para roubar dados de redes “air-gapped”.
HVACKer – Utilização de sistemas de climatização para controlar malware em sistemas “air-gapped”.
MAGNETO & ODINI – Roubar dados de sistema dentro de gaiolas Faraday.
MOSQUITO – Roubar dados através de colunas e auscultadores ligados a PC.
PowerHammer – Roubar dados de sistemas “air-gapped” através de cabos de energia.
CTRL-ALT-LED – Roubar dados de sistemas “air-gapped” através dos LED do teclado.
BRIGHTNESS – Roubar dados de sistemas “air-gapped” através das variações de brilho do ecrã.
Neste novo método, Guri olhou para as vibrações que podem ser geradas usando as ventoinhas instaladas num computador, tal como as do cooler do processador, cooler da placa gráfica, ventoinha da fonte de alimentação, ou qualquer outra instalada no chassis do computador.
Segundo Guri, código malicioso instalado num sistema “air-gapped” pode controlar a velocidade a que as ventoinhas giram. Através da variação da velocidade de rotação, o atacante pode controlar a frequência das vibrações emitidas pela ventoinha.
Esta técnica pega na informação sensível guardada no computador, e depois altera a velocidade de rotação das ventoinhas para gerar um padrão de vibrações que se propaga pelo ambiente circundante, como por exemplo uma secretária.
Depois, o atacante pode gravar estas vibrações através dos acelerómetros que se encontram nos smartphones modernos e depois descodificar a informação escondida no padrão das vibrações para a reconstruir.
A captação das vibrações pode ser feita de duas formas:
Se o atacante tiver acesso ao sistema “air-gapped”, pode pousar o smartphone na secretária ao pé dele e obter a informação sem nunca tocar nele.
Se o atacante não tiver acesso ao sistema, pode infectar os smartphones de alguém que tenha acesso. Esse malware pode captar as vibrações e depois passar a informação ao atacante.
Guri diz que este tipo de ataque só é possível porque os acelerómetros dos smartphones podem ser usados por qualquer aplicação sem a necessidade de o utilizador dar qualquer tipo de permissão.
Contudo, embora esta técnica funcione, a transmissão de dados através de vibrações é muito lenta. A velocidade de transmissão dos dados é de meio bit por segundo, o que torna a AiR-ViBeR um dos métodos de roubo de dados mais lentos descobertos pela equipa nos últimos anos.
Pode encontrar mais detalhes acerca deste novo método no documento publicado esta semana, intitulado: “AiR-ViBeR: Exfiltrating Data from Air-Gapped Computers via Covert Surface ViBrAtIoNs.”
Obviamente que a grande maioria dos utilizadores não têm nada a temer deste ataque, porque existem ameaças muito mais perigosas na Internet. Contudo, os administradores de redes seguras têm de conhecer estas técnicas para conseguirem contrariar todos os tipos de ataques.