miércoles, 7 de febrero de 2018

El equipo de investigación de Mordechai Guri logra extraer datos de PCs desconectados a través de diversos métodos magnéticos y lumínicos.



El campo de la cyberseguridad está obsesionado con la prevención y detección de brechas, y encuentra todas las estrategias posibles para protegerse de los intentos de los hackers de infiltrarse en tu santuario digital. Pero Mordechai Guri ha pasado los últimos cuatro años obsesionado con la exfiltración: cómo los espías sacan información una vez que han entrado. Específicamente, se concentra en robar secretos lo suficientemente sensibles como para ser almacenados en una computadora separada por aire, una vez que dicha computadora está desconectada de todas las  redes y, a veces incluso en un lugar blindado contra las ondas de radio. Lo que hace que Guri sea algo así como un artista de escapismo de información.




Más, tal vez, que cualquier investigador individual fuera de una agencia de tres letras, Guri ha concentrado su carrera con el único objetivo de derrotar las brechas de aire mediante el uso de los llamados "canales encubiertos", métodos furtivos de transmisión de datos con el que la mayoría de los modelos de seguridad no cuentan  para nada. Como director del Centro de Investigación de Ciberseguridad en la Universidad Ben Gurion de Israel, el equipo de Guri de 38 años ha ideado un truco que aprovecha las emisiones accidentales y poco notorias de los componentes de una computadora: y que abarca todo, desde la luz hasta el sonido. o el calor.

Guri y sus colegas investigadores de Ben-Gurion han demostrado, por ejemplo, que es posible engañar a una computadora totalmente desconectada para que filtre datos a otro dispositivo cercano a través del ruido que genera su ventilador interno, cambiando las temperaturas del aire y transfomándolos en patrones que la computadora receptora puede detectar con sensores térmicos, o incluso recibir una corriente de información mediante el parpadeo desde un LED  de un disco duro de la computadora con la ayuda la cámara en un dron cuadricóptero flotando fuera de una ventana cercana. En una nueva investigación publicada hoy, el equipo de Ben-Gurion incluso ha demostrado que pueden extraer datos de una computadora protegida no solo por un espacio de aire, sino también por una jaula de Faraday diseñada para bloquear todas las señales de radio.

Mordechai Guri

Un juego de exfiltración

"Todo el mundo estaba hablando de romper el espacio de aire para entrar, pero nadie hablaba de sacar la información", dice Guri sobre su trabajo de canal encubierto inicial, que comenzó en Ben-Gurion en 2014 como estudiante de doctorado. "Eso abrió la puerta a toda esta investigación, para romper el paradigma de que hay un sello hermético alrededor de las redes aisladas por el aire".

La investigación de Guri, de hecho, se ha centrado casi exclusivamente en extraer datos de esos entornos supuestamente sellados. Su trabajo también suele hacer la suposición poco ortodoxa de que un objetivo con espacio aéreo ya ha sido infectado con malware, por ejemplo, una unidad USB u otra conexión temporal utilizada ocasionalmente para actualizar el software en la computadora con fallas de aire o alimentarlo con nuevos datos. Lo cual no es necesariamente un gran paso por hacer; eso es, después de todo, cómo el malware altamente focalizado como Stuxnet y Flame de la NSA penetraron las computadoras iraníes con fallas aéreas hace una década, y cómo el malware "agent.btz" de Rusia infectó las redes secretas del Pentágono  al mismo tiempo.

Mordechai Guri

El trabajo de Guri apunta a mostrar que una vez que ha ocurrido la infección, los hackers no necesariamente tienen que esperar otra conexión tradicional para filtrar los datos robados. En cambio, pueden usar medios más insidiosos para filtrar información a las computadoras cercanas, a menudo a malware en un teléfono inteligente cercano u otra computadora infectada al otro lado del espacio de aire.

El equipo de Guri "hizo un recorrido de la fuerza para demostrar las innumerables formas en que el código malicioso implementado en una computadora puede manipular entornos físicos para extraer secretos", dice Eran Tromer, investigador de Columbia. Tromer señala, sin embargo, que el equipo a menudo prueba sus técnicas en hardware de consumo que es más vulnerable que las máquinas reducidas construidas para fines de alta seguridad. Aún así, obtienen resultados impresionantes. "Dentro de este juego, de responder a la pregunta de si se puede formar un espacio de aire efectivo para evitar la infiltración intencional, han dado una respuesta negativa y  rotunda".

Un Houdini magnético

El miércoles, el equipo de Ben-Gurión de Guri reveló una nueva técnica que llaman MAGNETO, que Guri describe como el más peligroso de los doce canales encubiertos que han desarrollado en los últimos cuatro años. Mediante la coordinación cuidadosa de las operaciones en los núcleos del procesador de una computadora para crear ciertas frecuencias de señales eléctricas, su malware puede generar eléctricamente un patrón de fuerzas magnéticas lo suficientemente potente como para llevar una pequeña corriente de información a los dispositivos cercanos.

El equipo llegó a construir una aplicación para Android llamada ODINI, llamada así por el escapista Harry Houdini, para capturar esas señales usando el magnetómetro de un teléfono, el sensor magnético que habilita su brújula y permanece activo incluso cuando el teléfono está en modo avión. . Dependiendo de lo cerca que esté el "error" de un teléfono inteligente para la computadora objetivo con trampas de aire, el equipo podría filtrar los datos robados entre uno y 40 bits por segundo, incluso a la velocidad más lenta, lo suficientemente rápido como para robar una contraseña en un minuto o una clave de cifrado de 4096 bits en poco más de una hora, como se muestra en el siguiente video:

Muchas otras técnicas de canales ocultos electromagnéticos han utilizado en el pasado las señales de radio generadas por el electromagnetismo de las computadoras para espiar sus operaciones: la implementación de la técnica por parte de la NSA, que la agencia llamó Tempest, incluso se ha desclasificado. Pero, en teoría, las señales de radio de las que dependen esas técnicas serían bloqueadas por el blindaje metálico de las jaulas de Faraday alrededor de las computadoras, o incluso salas completas de Faraday utilizadas en algunos entornos seguros. 


La técnica de Guri, por el contrario, no se comunica por ondas de radio electromagnéticamente inducidas con fuertes fuerzas magnéticas que pueden penetrar incluso aquellas barreras de Faraday, como paredes revestidas de metal o un teléfono inteligente guardado en una bolsa de Faraday. "La solución simple a otras técnicas fue simplemente colocar la computadora en una jaula de Faraday y todas las señales son encarceladas", dice Guri. "Hemos demostrado que no funciona así".


 Mensajes secretos, aviones no tripulados y luces parpadeantes.

Para Guri, esa técnica de destrucción de Faraday culmina una serie épica de trucos de robo de datos, algunos de los cuales describe como mucho más "exóticos". que su último truco más reciente. El equipo Ben-Gurion comenzó, por ejemplo, con una técnica llamada AirHopper, que utilizaba el electromagnetismo de una computadora para transmitir señales de radio FM a un teléfono inteligente, una especie de actualización moderna de la técnica Tempest de la NSA. 

Luego, probaron con una herramienta llamada BitWhisper que  mediante el calor generado por una pieza de malware que manipula el procesador de una computadora puede, directa o lentamente, comunicar datos a computadoras adyacentes desconectadas. 

En 2016, su equipo cambió a ataques acústicos, demostrando que podían usar el ruido generado por el giro de un disco duro o el ventilador interno de una computadora para enviar de 15 a 20 bits por minuto a un teléfono inteligente cercano.  El ataque del ventilador, se muestra en el siguiente video, funciona incluso cuando la música se reproduce en las cercanías: 

Más recientemente, el equipo de Guri comenzó a jugar con la exfiltración basada en la luz. El año pasado, publicaron documentos sobre el uso de los LED de computadoras y enrutadores para parpadear como mensajes de código Morse, e incluso utilizaron los LED infrarrojos de las cámaras de vigilancia para transmitir mensajes que serían invisibles para los humanos.  En el siguiente video, muestran que el mensaje parpadeante con LED fue capturado por un dron fuera de la ventana de una instalación. Y en comparación con los métodos anteriores, esa transmisión basada en la luz es un ancho de banda relativamente alto, enviando un megabyte de datos en media hora. Si el exfiltrador está dispuesto a parpadear el LED a un ritmo ligeramente más lento, el malware incluso puede enviar sus señales con destellos tan rápidos que son indetectables para los ojos humanos.

Guri dice que sigue tan obsesionado con el desafío específico de fugas de espacio de aire en parte porque implica pensar creativamente sobre cómo la mecánica de cada componente de una computadora pueda convertirse en un faro secreto de comunicación. "Va más allá de la informática típica: ingeniería eléctrica, física, termodinámica, ciencia acústica, óptica", dice. "Requiere pensar 'fuera de la caja', literalmente." 

¿Y cuál la solución a las técnicas de exfiltración que él y su equipo han demostrado desde tantos ángulos? Algunas de sus técnicas se pueden bloquear con medidas simples, desde más blindaje hasta mayores cantidades de espacio entre dispositivos sensibles y ventanas con espejos que impidan que los drones furtivos u otras cámaras capturen señales LED. Los mismos sensores en los teléfonos que pueden recibir esas transmisiones de datos engañosas también se pueden usar para detectarlos. Y cualquier dispositivo habilitado para radio como un teléfono inteligente, advierte Guri, debe mantenerse lo más lejos posible de los dispositivos con espacio de aire, incluso si esos teléfonos se almacenan cuidadosamente en una bolsa de Faraday.

Pero Guri señala que existen algunos métodos aún más "exóticos" y la ciencia los métodos de exfiltración ficticios pueden no ser tan fáciles de prevenir en el futuro, particularmente cuando el internet de las cosas se vuelva más cotidiano en nuestras vidas diarias. 

¿Qué pasa si, especula, es posible extraer datos en la memoria de un marcapasos o una bomba de insulina, utilizando las conexiones de radio que esos dispositivos médicos utilizan para las comunicaciones y actualizaciones? "No se puede decir a alguien con un marcapasos que no vaya a trabajar", dice Guri. En otras palabras, un espacio de aire puede ser la mejor protección que el mundo de la ciberseguridad puede ofrecer. Pero gracias al trabajo de hackers como Guri -algunos con menos intenciones académicas- ese espacio entre nuestros dispositivos puede que nunca vuelva a ser del todo impermeable. 

Ataques rápidos 

Si todavía no estás totalmente seguro de lo que es un espacio de aire, aquí hay un pequeña explicación para ti.

las luces LED parpadeantes en una computadora realmente pueden filtrar datos, pero no encontraron nada  sobre los ruidos de los ventiladores que haga lo mismo.