skip to main | skip to sidebar
12 commenti

Se la spia (del computer) fa la spia: estrazione di dati da un computer “air-gapped”

Il buon senso informatico dice che uno dei modi migliori per proteggere i dati presenti in un computer è isolare il computer da qualunque connessione. Se non è collegato alla rete locale o, peggio ancora, a Internet, dovrebbe essere impenetrabile.

Giusto, o quasi. Un computer completamente scollegato (in gergo “air-gapped”, ossia “isolato in aria”) è in effetti molto difficile da attaccare. Non per nulla isolare fisicamente i computer è una pratica molto comune a livello militare, governativo e commerciale per i sistemi più critici.  Ma un attacco non è impossibile, e un gruppo di ricercatori israeliani ha trovato e dimostrato un metodo decisamente creativo per sferrarlo: sfruttare le luci del disco rigido.

L’indicatore luminoso di attività di un disco rigido normalmente lampeggia durante l’uso del computer, e nessuno fa caso ai suoi bagliori intermittenti, per cui ai ricercatori del Centro di Ricerca per la Sicurezza Informatica dell'Università Ben Gurion del Negev è venuto in mente che questa luce è un segnale perfetto: una volta infettato il computer isolato (con un complice interno o con altre tecniche, come quelle usate dal malware Stuxnet nel 2010 per raggiungere e danneggiare i sistemi di controllo degli impianti nucleari iraniani), i dati da rubare vengono trasmessi codificandoli nei lampeggiamenti dell’indicatore luminoso, comandati dal malware. Questi lampeggiamenti sono una sorta di codice Morse luminoso e vengono captati a distanza da una telecamera. Un computer esamina le riprese e ne estrae i dati.

Il concetto è intrigante e sa di trovata da film, ma i ricercatori hanno architettato una dimostrazione pratica, descritta in un articolo tecnico e in un video: montano una piccola telecamera su un drone, che di notte si piazza in modo da vedere attraverso una finestra la luce del disco rigido del computer bersaglio.

Potrebbe sembrare un modo molto lento per estrarre dati, ma i ricercatori sono riusciti a trasmettere fino a 4000 bit al secondo (un megabyte in mezz’ora): più che sufficienti per trasmettere del testo o delle password o una chiave crittografica. A queste velocità, fra l’altro, il lampeggiamento del LED del disco rigido è talmente rapido da essere impercettibile all’occhio umano e la fuga di dati non lascia tracce.

Per fortuna le contromisure sono molto semplici: coprire il LED con qualcosa di opaco, orientarlo in modo che non sia visibile attraverso le finestre o (meglio ancora) collocare i computer essenziali in stanze prive di finestre. Ma bisogna avere l’accortezza di pensarci.

Una volta ti prendevano in giro perché mettevi il nastro adesivo sulla webcam, poi hanno capito che non era paranoia perché la si poteva davvero accendere di nascosto; chissà se adesso scoppierà la moda di tappare anche le lucette dei dischi rigidi. Ci sarà pure una ragione per cui quelle lucette si chiamano spie, no?

Fonti aggiuntive: Wired.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (12)
L'"allarme" è comunque contenuto.

Sono sempre meno (almeno in termini di portatili) le macchine che mostrano con led le varie attività.
In molti modelli, addirittura, sono spariti gli indicatori di caps e num lock (lo scroll lock è sparito da molte tastiere da tempo, figurarsi il suo led)

Però, in effetti, se è possibile usare il led di scroll lock come indicatore di attività di disco o di rete usando dei semplici programmi, usare quegli stessi led per trasmettere informazioni è un attimo.
Tutto molto bello, ma non sarebbe più facile se il "complice interno" invece di infettare il PC in modo che trasmetta dati con i LED a una telecamera..copiasse direttamente ciò che serve?
Anastrefo,

ho respinto il tuo commento perché non è chiaro se è ironico o serio (e quindi potenzialmente razzista). Riformulalo, se vuoi.
Oramai anche la mia postepay e la tessera sanitaria hanno il chip rfid leggibbile a distanza. (basta guardare la card controluce e si vede la spiralina)
Dunque il led dell' hard disk potrebbe essere una scusa
per mascherare qualche tipo di cheatingh piu nascosto.
Secondo me questa ricerca ha principalmente lo scopo di evidenziare quante siano le strade percorribili per rubare dati, a volte davvero le più impensabili.
Scusami, ma non capisco una cosa, se con un singolo led sono riusciti ad estrarre 4000 bit al secondo, mi risulta che il led HD non abbia modulazioni di luce possibili quindi è solo acceso o spento così come ogni singolo bit è 1 o 0...
per una semplice deduzione fisico-matematico-informatica, per estrapolare i dati da un video devi avere una telecamera da 4000 frame al secondo... Esistono, ma non sono proprio una cosa di tutti i giorni e necessitano di condizioni con enorme luminosità. Non penso possano rilevare un minuscolo led nella notte ne essere montate su un drone.
Ok ma ti devono comunque infettare col malware, quindi la cosa ha una portata limitata.
La complessità di infettare/raggiungere un sistema airgapped, è principalmente la sua "disconnessione". Se un operatore è in grado di raggiungerlo (per installare il primo malware), l'operatore fa prima a staccare il disco e portarselo via...
@Eagle

Potrebbe non esserci un complice interno consapevole.
Negli scenari preposti, il malintenzionato non ha accesso al computer, ma può persuadere qualcuno che ce lo ha ad infettare il computer.
@ Roby10: si usano videocamere basate su eventi come questa: https://inilabs.com/products/dynamic-vision-sensors
Restituiscono non una sequenza di frame, ma un flusso di "eventi" che descrivono i cambiamenti di luminosità dei singoli pixel. Sono ultraveloci (decine di migliaia di eventi al secondo) e possono essere montate su droni perché sono piccole e non richiedono molte risorse di calcolo.
Robba da miscioninpossibol... da attivare RIGOROSAMENTE ticchettando per un secondo e mezzo sulla tastiera.

"Jim, attiva il virus"
"TIKITIKITIKITAK"
"Perfetto. Ora attiva la telecamera"
"TIKITIKITAK"
"Ingrandisci..."
"TIKTIKTIKTAK"
"Di più. Vai oltre la capacità del sensore per favore..."
"....??? ...TIKTIKITIKITITAKKKK"
"Perfetto! Ah,Jim..."
"TIK?"
"FATTI UN MOUSE PERDIO!!!!"
Si parlava di un tema simile ad es. su "Il rumore dell'hacking" Michal Zalewski 2006: la spia della scheda di rete/modem/router espone al mondo intero il traffico sul segmento di rete cui è collegata, e permette a malintenzionati di effettuare del vero e proprio "sniffing".

Pensate agli armadi dati negli aeroporti, uffici, ospedali, magari sono chiusi a chiave e già questo è un buon traguardo, ma pensare basta intercettare le lucette delle schede di rete per avere accesso al traffico, senza necessità di malware, è inquietante!

Oggi sono state prese particolari contromisure ed un attacco di questo genere non è più possibile. Il libro che ho citato è molto interessante, e fa capire che le informazioni che esponiamo sono molto più di quelle che noi pensiamo di esporre.

Ad es. google sa tutto di noi quando siamo in stato "logged in", ma google se vuole (e figuriamoci se non lo vuole!) sa che siamo noi anche quando siamo "logged off"