Ethernet e la trasmissione di dati wireless: che rischi ci sono?
Al Chaos Communication Congress, alla fine dello scorso anno, il ricercatore e radio amatore Jacek Lipkowski ha presentato i risultati dei suoi esperimenti di esfiltrazione dei dati da una rete isolata attraverso la radiazione elettromagnetica di fondo generata dalle apparecchiature di rete. La presentazione di Lipkowski sarà anche la più recente, ma non è certo l’unica: nuovi metodi di esfiltrazione di informazioni da computer e reti air gapped vengono infatti scoperti con una regolarità inquietante e gli esperti di Kaspersky hanno voluto approfondire la questione.
Qualsiasi cavo può funzionare come antenna e i criminali informatici che si infiltrano in una rete isolata ed eseguono il loro codice potrebbero, in teoria, usare un’antenna di fortuna per trasmettere dati al mondo esterno; basterebbe solo modulare la radiazione mediante un software.
Lipkowski ha deciso di testare se le reti Ethernet convenzionali possono davvero essere utilizzare per la trasmissione di dati. Specifichiamo subito: per i suoi esperimenti, il ricercatore si è servito soprattutto di un Raspberry Pi 4 model B ma ha affermato che i risultati sono sicuramente riproducibili utilizzando altri dispositivi collegati a Ethernet, o, almeno, embedded. Per trasmettere i dati ha usato il codice Morse; non è il metodo più efficiente, ma è facile da implementare. Qualsiasi radio amatore, infatti, può ricevere il segnale con una radio e decifrare il messaggio ascoltandolo, per questo il codice Morse costituisce un’ottima opzione per dimostrare la vulnerabilità, che l’autore ha battezzato con il nome Etherify.
Esperimento 1: modulazione della frequenza
I moderni controller Ethernet utilizzano la cosiddetta interfaccia standardizzata indipendente dai media (MII, Media-Independent Interface). L’MII prevede la trasmissione dei dati a varie frequenze a seconda della larghezza di banda: 2,5 MHz a 10 Mbit/s, 25 MHz a 100 Mbit/s e 125 MHz a 1 Gbit/s. Allo stesso tempo, i dispositivi di rete consentono di cambiare la larghezza di banda, generando le corrispondenti variazioni di frequenza.
Le frequenze di trasmissione dati, che generano diverse radiazioni elettromagnetiche dal cavo, sono gli “interruttori” che consentono la modulazione del segnale. Un semplice script (con 10 Mbit/s come interferenza 0 e 100 Mbit/s come interferenza 1, per esempio), può far sì che il controller di rete trasmetta i dati a una certa velocità generando così, essenzialmente, i punti e i trattini del codice Morse, che un ricevitore radio può facilmente catturare fino a 100 metri di distanza.
Esperimento 2: trasferimento dei dati
Il cambio nella velocità di trasmissione dati non è l’unico modo per modulare un segnale. Un’altra tecnica impiega le variazioni della radiazione di fondo provenienti da apparecchiature di rete in funzione. Un malware su un computer isolato potrebbe ad esempio utilizzare l’utility di rete standard per verificare l’integrità della connessione (ping -f) e per caricare i dati sul canale. Le interruzioni di trasferimento e le riprese saranno udibili fino a 30 metri di distanza.
Esperimento 3: senza necessità di un cavo
Il terzo esperimento non era previsto, tuttavia i risultati si sono rivelati interessanti. Durante il primo test, Lipkowski ha dimenticato di collegare un cavo al dispositivo di trasmissione, ma è stato comunque in grado di sentire il cambiamento della velocità di trasmissione dati del controller da circa 50 metri di distanza. Ciò significa che, in linea di massima, i dati possono essere trasferiti da una macchina isolata, purché la macchina abbia un controller di rete, indipendentemente dal fatto che sia collegata o meno a una rete. La maggior parte delle schede madri moderne dispone di un controller Ethernet.
Che rischi ci sono?
Contrariamente a quanto si creda, le reti isolate alla base degli airgap sono utilizzate non solo nei laboratori top-secret e nelle infrastrutture critiche, ma anche nelle normali aziende, che spesso utilizzano i dispositivi isolati come i moduli di sicurezza hardware (per la gestione di chiavi digitali, per la cifratura e la decifrazione delle firme digitali o altre esigenze simili) o le workstation isolate dedicate (come le Certificate Authority o CA). Se la vostra azienda si avvale di sistemi di questo tipo, tenete presente il potenziale rischio di fughe di informazioni dai sistemi air gapped.
Detto questo, Lipkowski ha utilizzato un ricevitore USB casalingo abbastanza economico. I criminali informatici dotati di risorse significative possono probabilmente permettersi apparecchiature più sensibili, aumentando la portata della ricezione. Per quanto riguarda le misure pratiche per proteggere la vostra azienda da tali fughe di dati, Kaspersky fornisce alcuni ovvi consigli:
- Implementate la suddivisione in zone e il controllo del perimetro. Quanto più un potenziale cybercriminale può avvicinarsi a stanze contenenti reti o dispositivi isolati, tanto più è probabile che intercetti i segnali
- Utilizzate il metallo per rivestire qualsiasi stanza in cui sono immagazzinate apparecchiature critiche, creando una gabbia di Faraday per proteggerle
- Schermate i cavi di rete. Sebbene in teoria non sia una soluzione perfetta, la schermatura dei cavi dovrebbe ridurre notevolmente la zona in cui possono essere ricevute le variazioni delle oscillazioni elettromagnetiche. In combinazione con la suddivisione in zone, può offrire una protezione sufficiente
- Installate soluzioni per il monitoraggio di processi sospetti nei sistemi isolati. Dopotutto, i cybercriminali devono infettare un computer prima di potere trasmettere i dati all’esterno. Con l’aiuto di un software dedicato, è possibile garantire che i sistemi critici rimangano liberi da malware