Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 79 reacties

Onderzoekers van de IsraŽlische Ben-Gurion Universiteit hebben een malwarevariant ontwikkeld waarmee gegevens van een computer gestolen kunnen worden die air gapped is. Dit gebeurt aan de hand van geluid dat door de actuator van de harde schijf wordt geproduceerd.

De onderzoekers schrijven dat dit geluid opgevangen kan worden door bijvoorbeeld een smartphone of een laptop. Daarvoor is wel vereist dat het luisterende apparaat zich binnen twee meter van de computer van het doelwit bevindt en dat de pc is voorzien van een mechanische harde schijf. Een ssd is daarom niet kwetsbaar. De DiskFiltration-malware moet bovendien aanwezig zijn op de computer van het doelwit, die bijvoorbeeld geïnfecteerd kan zijn door middel van een usb-drive.

Daardoor is ook een air gapped computer, die geen verbinding tot de buitenwereld heeft, kwetsbaar voor deze aanval, zo stellen de wetenschappers. Het luisterende apparaat kan in bezit zijn van de aanvaller of ook door malware zijn besmet, die de opgevangen signalen vervolgens via de dataverbinding verstuurt. Het stelen van gegevens werkt doordat de malware het geïnfecteerde systeem doorzoekt naar gevoelige gegevens als wachtwoorden en encryptiesleutels.

Vervolgens maakt de kwaadaardige software gebruik van de actuator, oftewel de arm met schrijf- en leeskoppen, om akoestische signalen op te wekken die door het luisterende apparaat opgevangen kunnen worden. Zo is het bijvoorbeeld mogelijk om een 4096bit-sleutel in 20 minuten over te brengen met een snelheid van 180 bits per minuut, schrijft Ars Technica. Hoewel deze aanval effectief is, blijft deze moeilijk uit te voeren door het vereiste dat de computer van het doelwit geïnfecteerd moet worden.

De onderzoekers achter dit project publiceren vaker dit soort side channel-aanvallen, bijvoorbeeld AirHopper en Fansmitter. Daarbij wordt respectievelijk de gpu van de computer ingezet als fm-zender en wordt de ventilator gebruikt om gegevens via geluid te versturen.

Moderatie-faq Wijzig weergave

Reacties (79)

klinkt leuk, vraag me alleen af hoe veel effectiever het is dan de versie met ventilatoren, het lijkt mij namelijk dat er vaker een dergelijk systeem is uitgerust met ssd's dan dat hij geen pwm fans heeft, maar daarvan weet ik niet genoeg om dat met zekerheid te stellen
Data versturen met de PWM fan is vťťl langzamer omdat de fan aansturing zo traag is. Een hardeschijf daarentegen heeft snellere actuatoren. Volgens FanSmitter paper is de 'bitrate' van de FanSmitter methode tot 15 bits per minuut terwijl die van de hardeschijf methode 180 bits per minuut is.

FanSmitter:
Our tests shows that information be received by a smartphone (or a similar device with a microphone) from a distance of zero to eight meters and at a bit rate of up to 15 bits per minute.

DiskFilteration:
With DiskFiltration we were able to covertly transmit data (e.g., passwords, encryption keys, and keylogging data) between air-gapped computers to a smartphone at an effective bit rate of 180 bits/minute (10,800 bits/hour) and a distance of up to two meters (six feet).

[Reactie gewijzigd door unglaublich op 12 augustus 2016 20:44]

Eerder met het scherm, dan niet zo obvious dat je een foto moet nemen van de key :+ maar de intensiteit van de back light aangepast wordt zodat het een soort lifi wordt.
Kortom: plak camera en microfoon af, of gebruik een computer die geen van beide heeft. Een standaard-desktop heeft die niet dus ik ben zelf niet bang (en ik ben sowieso niet ge-airgapped, maar dat terzijde!).
Ik begrijp je opmerking niet. Het gaat er toch om dat de info die de malware uit je pc haalt, verzonden wordt door een "tam-tam", in deze de actuator van de mechanische harde schijf? Of mis ik iets wellicht? Camera en microfoon spelen geen enkele rol in deze methode.
De harde schijf produceert het geluid, maar dat geluid moet worden opgevangen door een computer binnen 2 meter afstand. Die computer moet toch een microfoon hebben om het geluid op te kunnen vangen? Hetzelfde geldt voor het doorgeven van informatie via het geluid van de ventilatoren.

Verder had Dogtag het over het doorgeven van informatie door het licht van het scherm fel en minder fel te maken; om dat op te vangen heb je een lichtsensor of camera nodig. Als je die afplakt op het ontvangende apparaat blokkeer je dat signaal toch?
Maar een aanvaller gaat natuurlijk niet zijn eigen device afplakken.

Realistisch gezien, als je al in ruimtes komt met air-gapped computers, dan mag je vaak toch al je telefoon en dat soort zaken niet mee naar binnen nemen.
Niet zo zeer omdat ze bang zijn voor dit soort sideband aanvallen, maar omdat ze niet willen dat je foto's maakt of je telefoon ergens in een USB poort plugt om op te laden.
Binnen twee meter van een machine?

Tsja, ieder systeem waar een aanvaller fysieke toegang tot heeft kan je als gecompromitteerd zien. Deze aanval is dan een extra reden om voorzichtig te zijn met fysieke toegang, maar dat was al reeds een verplichting...
Binnen twee meter van een machine?

Tsja, ieder systeem waar een aanvaller fysieke toegang tot heeft kan je als gecompromitteerd zien. Deze aanval is dan een extra reden om voorzichtig te zijn met fysieke toegang, maar dat was al reeds een verplichting...
Wat je dan wel kan doen is bijvoorbeeld een device infecteren van de personen die het systeem dagelijks gebruiken, en zo ongemerkt die personen inzetten als luistervink om data van je doelsysteem af te halen.

Maar als praktische aanvalsmethode lijkt het me veel makkelijker om bijvoorbeeld een zendertje te verstoppen in een USB-verlengkabel of de data van het hele systeem af plukken met een USB-stick die je toch al nodig hebt om het systeem mee te infecteren. En er is weinig data die zů gevoelig is dat de machines om die reden ge-airgapped worden, dus het aantal potentiŽle targets is enorm klein.

Machines in kritieke processen worden eerder ge-airgapped om te voorkomen dat mensen op een verkeerd knopje drukken (al dan niet op afstand) en er doden vallen. En meestal zijn dat soort systemen dan ook uitgevoerd met dubbele of driedubbel redundante back-ups die alarm slaan als er ťťn systeem uit de pas raakt: Als je dus vanaf ťťn systeem het proces wil dwarsbomen dan wordt dat systeem gewoon op non-actief gezet.
[...]


Wat je dan wel kan doen is bijvoorbeeld een device infecteren van de personen die het systeem dagelijks gebruiken, en zo ongemerkt die personen inzetten als luistervink om data van je doelsysteem af te halen.
Dan heb je je securityproces niet onder controle. Mijn zus werkt in en TBS inrichting en daar moeten mobiele telefoons e.d. bij de ingang worden ingeleverd voordat ze het kantoor in kan. Tassen kunnen, en worden, doorzocht. Simpel en effectief. Ik neem voor het gemak maar even aan dat als organisatie om security redenen PC's offline zitten zoiets ook wel in hun proces hebben zitten. Zo niet, dan kunnen ze die PC net zo goed online zetten.
Zoals ik in meerdere reacties lees denken veel dat de aanvaller zelf fysieke toegang gaat zoeken maar dat zal juist niet het geval zijn. Bij dit soort aanvallen is er wel wat meer finesse nodig. Zoals weten welke personen in aanraking kunnen komen met het systeem. En als voorbeeld:
Bij deze persoon vind thuis en inbraak plaats, spullen worden gejat etc maar de laptop en usb stick worden niet gestolen maar geÔnfecteerd. En wellicht zo geÔnfecteerd dat laptop op een later moment een poging gaat doen om gsm van de gebruiker te infecteren.
Dit is natuurlijk maar een voorbeeld maar een stukje social engineering gaat er wel aan vooraf. En dit soort aanvallen zullen eerder door overheden worden ingezet dat een klein hackers clubje
Eerst moet een USB-stick in die pc en dan moet er een smartphone naast die pc gelegd worden.
En dan moet je die smartphone terugkrijgen of die moet de gegevens overbellen.
Het lijkt me makkelijker om gewoon die pc te jatten.
Dat kan, maar het probleem is dat dat nogal opvalt... als je een secret key steelt is het wel zo handig als de slachtoffers die nog even blijven gebruiken in de veronderstelling dat je hem niet hebt. :P
Afgezien van dat dit technisch heel knap is, zie ik hier niet veel meer in dan een proof of concept.

Echt toepasbaar is dit niet echt, computer moet voorzien zijn van malware en vervolgens moet je minimaal 20 min naast deze computer gaan staan met een telefoon of laptop (in het gunstigste geval).

Als je al de gelegenheid hebt om die computer te voorzien van malware, download dan gelijk de benodigde gegevens, lijkt mij effectiever.

Daarnaast denk ik dat dit ook alleen werkt in een vrij stille ruimte
180 bits per minuut, dat is ongeveer 20 bytes per minuut. Zou je het ongemerkt voor elkaar krijgen om de PC af te luisteren tussen vrijdagmiddag 6 uur en maandagmorgen 8 uur, dan heb je 60 uur om te luisteren. In die 60 uur verplaats je 70 kilobytes.

Het idee is grappig maar praktisch nut is ver te zoeken.
Ik vraag me af hoe het omgaat met leesacties als de gebruiker bezig is met de computer en of de microfoon het geluid uberhaupt nog goed te pakken kan krijgen als je bijvoorbeeld ondertussen aan het typen bent.
Immers als hij tikjes niet kan horen moet je weer overnieuw beginnen, want de telefoon kan de PC niet vertellen "joh, ik heb een bitje gemist, kan je die ff opnieuw zenden?".

Ik denk dat de persoon bij de PC in de buurt al kwaadwillend moet zijn als je zo lang een luisterapparaat in de buurt wil houden, en dan is het maken van een foto van het scherm met de te stelen info, of het handmatig overschrijven denk ik al sneller dan dit.

Het is goed om te weten dat het kan, maar ik denk dat je je er niet echt zorgen over hoeft te maken op het moment. (Maar als je een nieuw systeem in elkaar zet voor topgeheime info, en de machine niet aan het net hangt, kan je idd door dit onderzoek wel onderbouwen dat je beter een SSD zou kunnen gebruiken)
Ik vraag me af hoe het omgaat met leesacties als de gebruiker bezig is met de computer en of de microfoon het geluid uberhaupt nog goed te pakken kan krijgen als je bijvoorbeeld ondertussen aan het typen bent.
Meerdere malen transmitten, error correction codes erin, maar vooral meerdere malen transmitten. Atenciůn, Atenciůn...

Maar sowieso is deze methode interessanter bij air-gapped systemen waarbij er zelden of nooit iemand achter het toetsenbord zit. Doorgaans zijn dit ook geen systemen waar 24x7 op gewerkt wordt, en je wil nu net gaan afluisteren als er niemand is. Foto's nemen valt nogal op. Uberhaupt in de buurt zijn valt op. Een toevallig "vergeten" telefoon die later weer opgehaald wordt niet. Dit moet je zien als een optimalisatieslag: de machine infecteren met malware, die zijn werk laten doen en de resultaten ophalen gaat een stuk beter met twee korte bezoekjes van een paar seconden (eventueel door verschillende mensen) dan iemand die 20 minuten lang opzichtig en zonder toestemming achter de PC zit. De malware kan ook nog op een andere manier, zoals in de fabriek geÔnfecteerde firmware voor de componenten. De mobiele telefoon kan meegenomen worden door een medewerker van het bedrijf, die niet weet dat zijn device gehacked is. Je kunt hierbij heel creatief zijn.

Je hoeft je er geen zorgen over te maken in de zin dat dit soort methodes veel te duur zijn om op een willekeurige gebruiker los te laten. Dit is Mission Impossible achtig spul dat ingezet wordt voor hele specifieke doelen. Die doelen moeten nu dus inderdaad overwegen om alleen SSD's te gebruiken (en fans met constante snelheid, en niet te vergeten bewakers die fouilleren op telefoons 8)7 ).

[Reactie gewijzigd door MneoreJ op 13 augustus 2016 14:39]

60kb kan genoeg zijn om een private key, een classified .Doc etc te doen uitlezen
Of je plaatst een microfoon naast de computer die het signaal weer oppikt en dan heb je alle tijd.
Das genoeg om de volledige key met een paar passwords van een systeem te halen. Meer spionnenspul... Niemand zal bij mij die moeite doen... Een pc zonder internet... Pff.. Zo begin jaren 90... :)
Sommige systemen worden vanwege security concerns ge-airgapped.
En dan zou we wel zomaar iemand in de buurt kunnen komen die er niets te zoeken heeft???
tsja, op een moment waarbij je enkel een write toegang weet te krijgen naar de computer (je laat je malware mee liften op een ander medium wat daarna niet meer terug komt) of wanneer je een code nodig hebt die pas gegenereerd gaat worden lang nadat je de mogenlijkheid hebt de pc te infecteren is dit natuurlijk wel zinnig
Ik begrijp de technische mogelijkheden, maar om het nu echt praktisch toepabaar te noemen, daar heb ik zo mijn twijfels bij
Het lijkt me dat er makkelijkere oplossingen zijn te verzinnen als je toch al toegang tot de PC hebt of hebt gehad en als je zo dichtbij moet zitten. Over de schouder van de persoon achter PC meekijken levert waarschijnlijk sneller bruikbare informatie op.
tsja, op een moment waarbij je enkel een write toegang weet te krijgen naar de computer (je laat je malware mee liften op een ander medium wat daarna niet meer terug komt) of wanneer je een code nodig hebt die pas gegenereerd gaat worden lang nadat je de mogenlijkheid hebt de pc te infecteren is dit natuurlijk wel zinnig
En om hoeveel potentiŽle targets zal het dan gaan, waarbij systemen ge-airgapped staan om te voorkomen dat gevoelige gegevens in verkeerde handen vallen?

Hoeveel moeite kost het om toegang tot zo'n systeem te krijgen via social engineering in plaats van via deze methode?

Met andere woorden: Hoe groot is de afweging van inzet (en dus risico) tegenover potentiŽle payoff?
"moet je minimaal 20 min naast deze computer gaan staan met een telefoon of laptop (in het gunstigste geval)."

Heb eens wat fantasie, je kunt je phone ook gewoon achterlaten natuurlijk...
Beveiligings camera's met microfoon die te vinden zijn in server parken, is echt het eerste waar ik aan moest denken.
Al moet het systeem daarachter wel eerst geÔnfecteerd zijn, wil dit kunnen werken, maar toch.
Daar gaat je cloud opslag inlog wachtwoord.
Al gaat dit in een server park alsnog vrij lastig worden om toe te passen, aangezien er nogal veel schijfen aan het draaien zijn, maar toch, het zal je maar overkomen :/

Edit: Typo

[Reactie gewijzigd door SSDtje op 14 augustus 2016 00:25]

Dit soort side-channel methoden zijn leuk als een proof of concept maar in de praktijk nauwelijks bruikbaar, met de bitrates die gehaald worden duurt het al dagen voor een simpele directory structuur over wordt gezonden laat staan dat er nog realtime een keylogger actief moet zijn.

Daarnaast heeft deze specifieke aanval last van het feit dat gewoonlijke HDD activiteiten ook door moeten gaan.

De Chip Whisperer methode is veel effectiever. Door te kijken naar de straling die van een systeem af komt kan men zeggen waar het exact mee bezig is. Daarnaast kan men door niet gebruikte chips in en uit te schakelen een groot genoeg patroon veroorzaken waardoor data transfer mogelijk is.
Chip whisperer is veel slomer. De malware gaat op zoek naar password dus binnen 20 minuten een pbk lijkt me niet heel slecht.
Wat is die chip whisperer dan precies? Ik kan alleen iets vinden over een bordje dat computers moet beschermen via Google, niet over een aanvalsmethode?
Ik nam aan dat hij het hier over had.
O, dank voor de link! Dat klinkt wel heel eng...
De onderzoekers achter dit project publiceren vaker dit soort side channel-aanvallen, bijvoorbeeld AirHopper en Fansmitter. Daarbij wordt respectievelijk de gpu van de computer ingezet als fm-zender en wordt de ventilator gebruikt om gegevens via geluid te versturen.
Daar ben ik nog veel meer in geinteresseerd.
Lijkt me vele male makkelijker dan bovenstaande link.
Die fm-zender komt blijkbaar niet ver en heeft een zeer lage snelheid. Dus voorlopig lijkt die niet super gevaarlijk. Wat ik me ook afvraag: een gemiddelde computerkast is van metaal. De mijne in elk geval wel. Komen radiosignalen daar doorheen?

[Reactie gewijzigd door Cerberus_tm op 15 augustus 2016 00:24]

Erg innovatief! Nu heeft elke huis, tuin en keukengebruiker zijn computer wel aan het Internet hangen, maar bij bijvoorbeeld kerncentrales en lanceerinstallaties lijkt mij dit (nog) niet het geval. Maar ik mag hopen dat daar goede policies zijn en dat daar niet maar zo wachtwoorden gestolen worden op deze manier.

[Reactie gewijzigd door Jumpman op 12 augustus 2016 20:18]

de pc in kwestie moet natuurlijk eerst worden geinfecteerd, denk dat dat een veel moeilijkere stap is dat het eenmaal in gebruik stellen van een dergelijke methode
de pc in kwestie moet natuurlijk eerst worden geinfecteerd, denk dat dat een veel moeilijkere stap is dat het eenmaal in gebruik stellen van een dergelijke methode
Tja, en als die PC eenmaal geÔnfecteerd is dan kun je ook die aanvalsmethode gebruiken om de betreffende data weer te ontfutselen.

En als je al malware wil planten op de computer van een raketlanceerinstallatie dan heb je grotere problemen dan een manier vinden om de malware op die computer te installeren. Als je fysieke toegang hebt dan is je doelwit hoe dan ook einde oefening.
Als je een versie malware op een PC kunt krijgen, kun je er ook wat beters op krijgen, denk ik.
Maar goed, dit zal de koppen wel aan sturen om een soort Morce code te genereren, wat geluid betreft.
de pc in kwestie moet natuurlijk eerst worden geinfecteerd, denk dat dat een veel moeilijkere stap is dat het eenmaal in gebruik stellen van een dergelijke methode
Gewoon USB sticks over het hek gooien de parkeerplaats op. Je wil ze de kost niet geven die zo'n ding oprapen en denken "zo maar even kijken van wie dat die is, dan kan ik em teruggeven". Maar ja niets te zien aan de buitenkant, dus dan maar even inpluggen in de PC om te kijken wat er op staat, wellicht is de eigenaar zo te achterhalen.
hoewel een dergelijke methode vaak heel effectief werkt voor het infecteren van een systeem, werkt dit natuurlijk niet voor een air-gapped systeem als hier over gesproken wordt.

Pietje zal misschien de gevonden stick wel in zijn persoonlijke workstation inpluggen, en zo zijn pc, en eventueel het netwerk infecteren, maar het hele idee is dat een air gapped systeem daar niet door beinvloed kan worden. En het lijkt me zeer sterk dat iemand die clearance heeft om fysiek bij zon air gapped systeem te komen stom genoeg is een gevonden stick erin te duwen, als ze door security redenen uberhaupt al toegestaan zijn deze de ruimte mee in te nemen.
Tja, ik snap ook niet dat mensen in 419-scams of in techsupport scams trappen, toch wil je ze de kost niet geven.

Volgens mij is het met Stuxnet ook op die manier gedaan, door letterlijk USB sticks over het hek de parkeerplaats op te gooien.
Je zou denken dat het bij een verrijkingsinstallatie wel snor zit met de beveiliging en het gebruik van enige mate van intelligentie als het gaat om gevonden USB sticks

De beste beveiliging tegen vreemde USB sticks is stopverf.

In heel veel high-sec omgevingen zijn de mensen gewoon de zwakste schakel. https://www.youtube.com/watch?v=JsVtHqICeKE
Dan is het dus nog niet eens zo slecht om een aantal ratelende blowers/fans aan boord te hebben die veel bijgeluid maken, om zodoende het geluid van de actuator van de harddisk(en) te camoufleren dit i.t.t. diegenen die een fluisterstil apparaat wensen te hebben :)
Bouw een nutteloze oude schijf in en laat die continu defragmenteren. Kopbewegingen galore
Ja dat lijkt me ook een goed idee ... zal wel zo'n vaart niet lopn denk ik ...
En niet vergeten dat het ook via hitte kan:http://thehackernews.com/2015/03/hacking-air-gapped-computer.html, dat gaat echter veel langzamer.
Klinkt een beetje als uit een MI film. Maar het feit dat het kan is technisch gezien gaaf. Nooit bij stilgestaan dat deze manier van data 'oppikken' ook kan.
Feit dat je er eerst met bijv een usb drive in moet vind ik dan eigenlijk een serieuzer veiligheidsprobleem dan dit. Beetje alsof je via een complete omweg een auto kan jatten maar daar voor eerst eventjes achter het stuur gezeten moet hebben met een draaiende motor.
Of je breekt in en stopt hem in de pc..
Beetje als ruit in tikken bij een auto.

[Reactie gewijzigd door SBTweaker op 13 augustus 2016 09:57]

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True