Nuevo ataque SATAn usa el cable SATA como Wifi para filtrar datos

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un investigador de seguridad ha encontrado una nueva forma de robar datos de sistemas con espacio de ventilación mediante el uso de cables serie ATA (SATA) presentes dentro de la mayoría de las computadoras, como una antena inalámbrica que envía datos a través de señales de radio.

Los sistemas con espacio de ventilación se utilizan en entornos críticos que necesitan estar físicamente aislados de redes menos seguras, como las que están conectadas a la Internet pública.

Por lo general, se ven en programas militares, gubernamentales y de desarrollo nuclear, así como en sistemas de control industrial en sectores críticos (por ejemplo, petróleo, gas, finanzas, energía eléctrica).

Apodado "SATAn", el ataque fue descubierto por Mordechai Guri, Jefe de Investigación y Desarrollo de los Laboratorios de Investigación de Seguridad Cibernética de la Universidad Ben-Gurion en Israel, y teóricamente podría ayudar a un adversario a robar información confidencial.

Ataque SATAn

Para que un ataque SATAn tenga éxito, un atacante primero debe infectar el sistema objetivo. Si bien esta no es una tarea fácil, hay informes de compromiso físico inicial desde 2010, siendo Sutxnet el más notorio.

La pieza de malware plantada en una red aislada puede apuntar a la información confidencial y prepararla para la exfiltración al modularla y codificarla.

El investigador encontró que los cables SATA en las computadoras pueden entregar señales electromagnéticas a través de un canal de radio entre 5.9995 y 5.9996 GHz que corresponden a caracteres específicos.

Cable SATA actuando como antena
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La interfaz SATA puede emitir señales de radio durante ciertas operaciones de lectura y escritura. El malware utilizado en los ataques SATAn puede secuestrar procesos de software legítimos para realizar funciones de lectura/escritura muy específicas que reflejan el contenido de los datos robados.

Durante la investigación, Guri pudo generar señales electromagnéticas para enviar la palabra 'SECRETO' desde un sistema de ventilación a una computadora cercana. El receptor necesita identificar el inicio de una transmisión válida desde cables SATA 3.

Generación de señales electromagnéticas que corresponden a caracteres
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

"En un escenario de ataque real, el receptor podría implementarse como un proceso en la computadora cercana o integrarse en un receptor de hardware dedicado", explica el investigador en un documento técnico:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta



Limitaciones de ataque

A través de la experimentación con varios sistemas y configuraciones, el investigador ha determinado que la distancia máxima desde la computadora con ventilación hasta el receptor no puede ser superior a 120 cm (3,9 pies), o la tasa de error de bits aumenta demasiado para garantizar la integridad de la mensaje (más del 15%).

La distancia entre el transmisor y el receptor también influye en el tiempo necesario para enviar los datos. Dependiendo de la brecha, "se han modulado y recibido secuencias de tres bits con 0,2 segundos, 0,4 segundos, 0,6 segundos, 0,8 segundos, 1,0 segundos y 1,2 segundos".

"Transmitimos los datos con una tasa de bits de 1 bit/seg, que se muestra como el tiempo mínimo para generar una señal lo suficientemente fuerte para la modulación."

Además, el investigador descubrió que cuando se abusa de las máquinas virtuales para realizar las operaciones de lectura/escritura de traducción de datos, la calidad de la señal en el cable SATA se reduce significativamente.

Una contramedida interesante propuesta en el documento es la de un bloqueador SATA, que monitorea las operaciones sospechosas de lectura/escritura de aplicaciones legítimas y agrega ruido a la señal.

Sin embargo, el uso excesivo del disco para generar la señal de interferencia acelera el desgaste del hardware, y distinguir entre operaciones legítimas y maliciosas sería un desafío en un entorno de tiempo de ejecución.

Mordechai Guri ha estado involucrado en más de dos docenas de proyectos que investigan varios canales que permiten robar datos de redes con brechas de ventilación de forma encubierta.

A lo largo de los años, Guri y su equipo demostraron que las redes aisladas aún pueden permitir la filtración de información confidencial a través de señales (luz, vibraciones, sonido, calor, campos magnéticos o electromagnéticos) generadas por componentes presentes en los sistemas como monitores, parlantes, cables, CPU., discos duros, cámaras, teclados.

Air-Gap Research Page
By Dr. Mordechai Guri
Cyber-Security Research Center
Ben-Gurion University of the Negev, Israel
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta