Air gap: ultieme computerbeveiliging gekraakt

Tot nu toe was er één middel dat altijd hielp tegen hackers. De air gap. Dat wil zeggen: de computer loskoppelen van de rest van de wereld. Maar helaas. Hackers hebben nu een manier uitgedokterd om ook vanaf deze computer boodschappen te verspreiden. Met de ventilator.

USB sticks

Air gapped computers moeten op de een of andere manier data delen met andere computers. Anders heb je er weinig aan. Meestal gebeurt dat met USB sticks of draagbare harde schijven. Hackers leggen zich er vaak op toe om deze te kraken. De USB-sticks die de Russen gul uitdeelden aan een delegatie van het EU parlement, bijvoorbeeld, waren volgens de EU besmet met een trojan[1]. De Sednit hackersgroep gebruikte in 2014 deze methode om air gapped computers over te nemen. Deze methode is welbekend bij systeem beheerders. Hier houden ze ook rekening mee.

Ultrageluid en air gap

Een eerder door computerhackers gebruikte methode om air gapped computers af te tappen is de ingebouwde speaker. Geluid bestaat uit trillingen, ook uit voor de mens niet hoorbare frequenties. Geluiden boven de 20.000 Hz (trillingen per seconde) zijn het interessantst voor hackers. Dit, omdat de bandbreedte van dit signaal veel groter is. In dit geval: rond de 20 kilobit en meer. Dat wil zeggen dat je 20.000/8, oftewel 2500 tekens (een klein artikel of klein plaatje) per seconde kan versturen. Genoeg voor het overdragen van gevoelige informatie in enkele minuten aan bijvoorbeeld een spion met een smartphone in de buurt. Er gaan hardnekkige geruchten rond, dat sommige hackers deze techniek gebruiken. Waaronder in de badBios malware[3]. Air gapped computers kunnen dan met elkaar data swappen via microfoon en speaker. Paranoïde systeembeheerders unpluggen dan ook de interne speaker van een air gapped computer.

Hacken met een ventilator, de ‘fansmitter’

Toch, zo blijkt nu, is dit niet voldoende. Computers, vooral de processor, produceren veel hitte. Om deze af te voeren zijn computers voorzien van een ventilator. De ventilator is een standaard onderdeel, dat in nieuwe computers automatisch aan wordt geschakeld als de processor te heet wordt. Als de ventilator aan gaat, produceert deze geluid. Geluid, dat je bijvoorbeeld met een smartphone kan afluisteren.

Veranderingen in zoemhoogte van een ventilator gebruiken om informatie door te seinen. Zelfs de air gap is niet meer veilig voor handige hackers. Bron: Wikimedia Commons/Metoc

Dit is een aantal security onderzoekers gelukt[4].  Zij ontwikkelden een malware app, die de controle over de ventilator overneemt. En deze een soort morsecode laat seinen. Dit deden ze door de frequentie te moduleren van 140 tot 170 Hz. Dus de draaisnelheid te variëren van 140 tot 170 maal per seconde. Een mens kan het verschil in toonhoogte tussen deze zeer lage geluiden bijna niet horen. Daardoor valt het plotseling vreemde gedrag van de ventilator niet op.

De methode bleek goed te werken. Hoog is de datasnelheid van de “fansmitter” niet. 900 bits per uur. Elk bestaande uit het versnellen of vertragen van de ventilator. Dit komt overeen met ongeveer 110 tekens per uur. Een lange tweet.

Bronnen
1. “Rusland spioneerde met usb-stick”, nos.nl, 2013
2. Sednit Espionage Group Attacking Air‑Gapped Networks, WeLiveSecurity, 2014
3. Meet “badBIOS,” the mysterious Mac and PC malware that jumps airgaps, ArsTechnica, 2013
4. Mordechai Guri et al., Fansmitter: Acoustic Data Exfiltration from (Speakerless) Air-Gapped Computers, 2016 (Arxiv)

8 reacties op “Air gap: ultieme computerbeveiliging gekraakt”

  1. In de jaren 80 konden ze al op 100m afstand de signalen van de monitor kabel oppikken en ergens anders beeld zichtbaar maken hoor.
    Von Eck phreaking heet dat.
    Stuk makkelijk dus.

  2. ongelovige Thomas

    Er is ook nog data uitwisseling mogelijk met flikkeringen van het scherm..Misschien is er data-uitwisseling mogelijk via ’n voedingsadapter die ’n digitaal signaal op het 220 volt netwerk gooit.

  3. En als je dan toch al zover bent dat je de benodigde malware op die “unplugged” pc kunt krijgen kan het nog veel simpeler hoor.
    Een computer processor is softwarematig vrij simpel te schakelen zodat deze als RADIO ZENDER functioneert!

  4. Gewoon een condensator met zenerdiode parallel op de ventilator aansluiting schakelen. Overspanning wordt zo weg gezenerd, onderspanning wordt voorkomen d.m.v. de condensator capaciteit. Camera’s afplakken, microfoons en speakers afschakelen. Ook de computer en alle daarop aangesloten apparatuur, (dus onafhankelijk van de netfrequenties) aansluiten op DC-AC convertors en accuvoedingen. Aluminium folie om alle kabels en USB sticks. Ook niet vergeten jouw smart phone uit te schakelen. Overigens, zelf heb ik daar nooit gebruik van hoeven maken. De overlast die ik had van zendpiraten waardoor mijn computer werd gestoord, maakte dat ik naast een net onafhankelijke convertorvoeding, de computer waar ik mee werkte in een met aluminium beklede ruimte had geplaatst. Dat bleek de enige manier om te voorkomen dat ik hun deprimerende gehuilebalk niet meer door mijn speakers hoorde jammeren.

  5. Er is volgens mij altijd 1 laatste oplossing: de voeding van de computer uitschakelen. Geen stroom is geen geluid. Maar misschien dat daar ook nog wel een techniek op kan worden bedacht. Door middel van inductie kunnen zelfs dan gegevens uitlekken maar ik weet niet of iemand dat al heeft uitgeprobeerd.
    Oeps ik breng vast mensen op ideeën haha

Laat een reactie achter

Dutch