Onderzoekers exfiltreren data uit air-gapped-pc's door SATA-kabels te analyseren

Beveiligingsonderzoekers hebben een manier gevonden om data uit air-gappednetwerken te exfiltreren door de radiofrequenties van SATA-kabels af te luisteren. De aanval, SATAn, kan ongeveer een bit aan data per seconde aflezen, ook uit systemen zonder rootrechten en uit vm's.

Het onderzoek werd uitgevoerd door wetenschappers van de Ben Gurion-universiteit in Negev in Israël. De onderzoekers noemen hun bevindingen SATAn. In de paper krijgen de onderzoekers het voor elkaar om een computer binnen een air-gappednetwerk zo te manipuleren dat die data uitzendt die vervolgens via de SATA-kabel kan worden uitgezonden. In de praktijk zal de aanvalsmethode lastig uit te buiten zijn. Dat komt mede omdat de onderzoekers de slachtoffer-pc zelf moesten manipuleren om data te verzenden.

Voor het onderzoek infiltreerden de wetenschappers een Ubuntu-pc met zelfgemaakte malware. Ze gaan er bij een set-up van uit dat een aanvaller fysieke toegang kan krijgen tot een systeem. De desktops moeten voor een succesvolle aanval gebruikmaken van minimaal een SATA III-kabel, die een bandbreedte van 6Gb/s heeft. De kabels zenden een elektromagnetisch signaal uit op een breedte tussen 5,9995 GHz en 5,9996 GHz. De malware die de onderzoekers op de pc van het doelwit zetten, gebruikt een algoritme om informatie om te zetten naar een signaal dat vervolgens bij een ontvanger binnenkomt. De onderzoekers kregen het voor elkaar om het woord 'secret' te verzenden en op een laptop met daarin een RF-ontvanger uit te lezen en te decoderen. Volgens de makers zou het technisch ook mogelijk moeten zijn om behalve read- ook write-signalen naar een pc te sturen, maar dat heeft twee nadelen. Ten eerste is het signaal dan veel zwakker, duurt het verzenden van informatie veel langer en ontstaat er soms ruis in het signaal. Ten tweede hebben schrijfoperaties meer permissies nodig op de pc van een doelwit.

SATAn

De hack is uit te voeren op systemen waarbij een slachtoffer alleen gebruikersrechten heeft. Ook is het mogelijk de aanval uit te voeren vanuit een virtuele machine, al waarschuwen de onderzoekers dat de overdrachtssnelheid ernstig achteruitgaat.

Het onderzoek werd uitgevoerd door een team dat onder leiding staat van Mordechai Guri. Hij heeft in het verleden tientallen onderzoeken uitgevoerd naar air-gappedmalware en -data-exfiltratie. Die volgen allemaal ongeveer hetzelfde stramien, maar verschillen in de manier waarop de data wordt afgeluisterd. Soms gebeurt dat via het geluid van harddisks of ventilatoren, andere keren door de lampjes op routers of de hitte van cpu's te manipuleren. Tweakers schreef vorig jaar een artikel over Guri en zijn methodes.

Opvallend aan het SATAn-onderzoek is dat de onderzoekers alleen maar beschrijven hoe ze zelfverzonden informatie kunnen aflezen. In sommige andere onderzoeken van Guri werd er specifiek gekeken naar hoe bijvoorbeeld wachtwoorden of andere informatie kon worden afgelezen uit secure enclaves, maar dat gebeurt hier niet.

SATAn kent ook nog wat andere beperkingen. Zo kan de laptop met de radio-ontvanger niet te ver van de geïnfecteerde laptop af staan omdat er dan te veel ruis op de lijn ontstaat. De onderzoekers spreken over maximaal 1,2 meter. Hoe verder de laptop binnen die afstand verwijderd is, hoe slechter het signaal wordt. Ook zou extensief gebruik van pc-hardware invloed kunnen hebben op het signaal dat kan worden afgelezen.

Reacties (68)

cosmo_roel 20 juli 2022 11:09

Dit heeft niks te maken met veiligheid van SATA of de data die iemand al dan niet versleuteld op zijn disk opslaat. Het gaat erom dat de SATA kabel als een antenne is te gebruiken. Dus in het vergezochte geval dat je een spion bent en binnengedrongen bent in een bunker waar een PC staat die je op één of andere manier gehackt hebt maar terwijl je vervolgens ook perongeluk (of expres omdat je ontdekt bent) de deuren hebt vergrendeld maar wel een mol hebt op 1.2 meter afstand buiten die deur die een onopvallende laptop met ontvanger bij zich heeft. Dan kun je het geheim (dat niet al te groot mag zijn want 1 bit/s), of je laatste woorden, toch nog verzenden naar die mol. Nuttig....

Tadango @cosmo_roel • 20 juli 2022 12:06

Malware kan op diverse manieren worden aangebracht. Je kan een software update kapen bv welke offline wordt uitgevoerd waarna de air gapped PC dus geïnfecteerd is. Niet ondenkbaar, wel onwaarschijnlijk.

themadone @Tadango • 20 juli 2022 21:21

Vertel dat tegen het doel van stuxnet.

Dit soort tactieken worden gebruikt in long plays, dit is niet bedoeld om heel snel te scoren en bitcoins te gaan eisen want anders gooien we je klantgegevens op straat.

Het gaat hier om staatsgeheimen en bijvoorbeeld ontwerpen van nieuw legerspeelgoed. Dat hoef je niet binnen een uurtje te hebben dus heeft deze aanval daar potentie.

Denk aan Merkel die via haar iPhone werdt afgeluisterd, in combinatie met een attack als uit het onderwerp kan je dus best ergens komen.

En ja, je telefoon mag niet mee naar zo'n ruimte, maar foutjes worden altijd gemaakt.

ZwolschBalletje @cosmo_roel • 20 juli 2022 13:59

Inderdaad, als het al gelukt is om deze malware op de pc te krijgen zodat-ie de SATA-kabel als antenne gaat gebruiken om data te verzenden, dan lijkt deze proof-of-concept me een erg omslachtige manier om gevoelige data vervolgens weg te sluizen van te pc.
Tenzij de malware natuurlijk al in een eerdere fase op de machine is gezet (bijvoorbeeld bij de OEM), voordat de gebruiker er zijn gevoelige gegevens op gaat zetten. Dan wordt het wel een interessante methode om later ongemerkt data weg te sluizen.

Over de capaciteit (1 bit per seconde) maak ik me niet zo druk, dat wordt met volgende iteraties nog wel hoger.

Wat me vooral opvalt in het bijgevoegde plaatje, is dat er in het woord 'secret' twee keer de letter 'e' voorkomt, maar dat in het plaatje de frequentie/verstoring heel anders is bij beide 'e's. Misschien is er een andere taal gebruikt voor het echte verzenden, en is het plaatje erbij geshopt als illustratie?

[Reactie gewijzigd door ZwolschBalletje op 31 juli 2024 13:18]

nl noob @cosmo_roel • 20 juli 2022 15:58

Natuurlijk is het onwaarschijnlijk dat er hiermee grote hacks plaatsvinden. Toch denk ik dat er meer misbruik van gemaakt kan worden dan jij nu schetst.
In een gedeeld datacenter zou jij je systeem bijvoorbeeld naast dat van je target kunnen plaatsen. Een rack verder zit je nog binnen het bereik.
Daarnaast zie ik wel een betere usecase dan "opgesloten zitten". Netwerkmonitoring is de meest eenvoudige wijze om indringers te detecteren. dat kan je op deze wijze dus gemakkelijk omzeilen.
Zoals je aangeeft is de bandbreedte met de huidige methode nog erg klein. Het is alleen niet gezegd dat dit de theoretische maximum is. De kans bestaat dus dat je meer informatie kan versturen in een kortere tijd. Ook kan een kleine hoeveelheid aan data al enorme waarde hebben. Verstuur bijvoorbeeld het wachtwoord of een token en je bezit de sleutel tot een IT-systeem.

Stoney3K

Wetenschap

@cosmo_roel • 20 juli 2022 18:14

Dan kun je het geheim (dat niet al te groot mag zijn want 1 bit/s), of je laatste woorden, toch nog verzenden naar die mol. Nuttig....

Dat klinkt wel als een mooi nieuw filmscenario voor Tom Cruise.

Neus 20 juli 2022 10:48

Wat een volledig nutteloos onderzoek door de vele beperkingen. Maximaal 1.2 meter afstand, malware op de PC moet geïnstalleerd zijn, 1 bit data per seconde... Als je al toegang hebt tot de PC, stop er dan een USB stick in en kopieer de data

Arrigi @Neus • 20 juli 2022 10:56

Sterker nog, het artikel noemt dan wel 1,2m maar als je de paper bekijkt vindt je een tabelletje:

# 30 cm 60 cm 90 cm 120 cm
PC-1 10 dB / 20 dB 7 dB / 15 dB 6 dB / 13 dB 4 dB / 9 dB
PC-2 7 dB / 1 dB 3 dB/ 9 dB - -
PC-3 3 dB / 7 dB - -

Leest niet zo handig weg, maar ze hebben hun methode op 3 computers getest. Enkel de "luidste" configuratie was op 1,2m nog werkbaar. De worst case had een slechter signaal op 30cm dan de best case op 1,2m en was op een grotere afstand niet eens meer af te luisteren.

edit: ze noemen ook de mogelijkheid van stoorsignalen/jamming op 6GHz. Volgens hun radio-heatmap hangen de SATA-signalen echt vlak op 6GHz.

would involve the use of radio signal jammers in the 6 GHz frequency band. However, such devices are expensive and can not be practically deployed on a wide scale

Heeft iemand ze al over Wifi 6E op de UNII5 band verteld? Als je je kantoor uitrust met Wifi 6E IoT dingetjes heb je je "jammer" al

[Reactie gewijzigd door Arrigi op 31 juli 2024 13:18]

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Malware

@Neus • 20 juli 2022 11:10

Je bagatelliseert het onderzoek wat mij betreft ten onrechte. Het gaat hier om een proof of concept waarbij er data wordt overgedragen op een manier die hiervoor nog niet bekend was. Het maakt hiermee een risico duidelijk waarmee je in bepaalde omgevingen wellicht rekening mee wilt / moet houden. Het onderzoek is waarschijnlijk nog niet op het eindstation.

MSalters

Wetenschap

@Bor • 20 juli 2022 21:24

Nou - het was al langer bekend dat kabels signaal lekken. En dat is een significant probleem. Niet omdat het data lekt, maar omdat het energie lekt. En dat beperkt de bandbreedte van de kabel. Daarom zijn we bij PATA destijds van 40-aderige kabels naar 80-aderige kabels gegaan - minder lekkage door 40 aarddraden.

En ook SATA is op weg naar de uitgang, o.a. door de opkomst van NVMe en M.2. En zelfs als je M.2 voor SATA gebruikt, heb je het kabelprobleem alsnog opgelost.

Martijn.C.V

@Neus • 20 juli 2022 11:32

Het moeilijkste stuk is het eerste deel. Werkt dit concept uberhaupt? Het antwoord daarop is ja. Vanaf dit punt kun je verder gaan zoeken. Nu het werkt, kun je bv een AI het signaal laten analyseren voor betere herkenning wat er is. Daarmee zou je bij meer bit/sec kunnen oppikken. Of misschien wel op een grotere afstand.

Mogelijk kunnen ze nu ook onderzoeken of je met een speciale antenne gerichter kunt luisteren en/of meer ruis/storing eruit filteren.

En max 1.2m is niet zoveel, maar wat nou als ze het iets vlotter krijgen en jij met een mooi apparaatje onverdacht naast zo'n apparaat kan staan? Dan opeens kun je data gaan harken zonder dat iemand t doorheeft (al, als iemand air gapped werkt is er ook wel wat controle bij de deur, maar toch).

hamsteg @Martijn.C.V • 20 juli 2022 13:03

Het onderzoek is misschien niet nutteloos maar feitelijk zeer voorspelbaar en voor Tweakers eigenlijk geen nieuws. Alles wat straling afgeeft, kan worden uitgelezen. Dit is niet nieuw. Of dit nu SATA is of bijvoorbeeld een stuk geheugen, dat mag niet tot een verassing leiden. Tien jaar geleden waren dat beeldschermen, ergens een onderzoek gezien over diepzee internetkabels. Op het moment dat je gaat multiplexen is uit de straling niets meer te halen omdat je dan elke context mist (parallel 1x een 0 en 1x een 1 of 100x een 0 en 1x een 1; de straling is gelijk). De impliciete mededeling dat dit daardoor security issue is, vind ik mooi voor de clickbite maar een van de laagst geclassificeerde risico's die er bestaan. Iemand die op dit niveau echt data wil binnenhalen moet ongelooflijke (geld)resources hebben, het is veel efficiënter om de zwakste plek te benaderen, het hoogste risico in de keten: de mens.

Jogai @Neus • 20 juli 2022 12:07

Als je een kopie hebt weet je nog niet wat er gebeurt met de originele pc. Stel je hebt kort toegang tot bijvoorbeeld een raketlanceerinstallatie. Dan kan je een pc infecteren met malware die detecteert of een lancering wordt ingezet. Dat signaaltje, wat minimaal is, stuur je naar een detector in de buurt die het verder kan versturen. De malware kan ook nog iedere minuut ofzo een signaaltje 'ok' geven. Als je daarmee 5 minuten eerder op de hoogte bent van een aanval lijkt dat me erg nuttig!

rjkers 20 juli 2022 10:53

De uitkomst is niet alleen "wow! Je kan dit doen, SATAn is super gevaarlijk" maar minstens ook "ben je bang voor SATA data lekken, zo moeilijk is het dus".
Zie 't als een feasibility study, die dus aan toont dat 't niet heel praktisch is. Dit is ook een waardevolle uitkomst.

DigitalExorcist 20 juli 2022 11:31

Krijgen we straks 'Shielded SATA" naast Unshielded SATA kabels.. ingelegd met lood en aluminiumfolie.

Rob Coops 20 juli 2022 11:54

Als ik een air gapped PC bouw zou ik dan mensen toegang geven tot de ruimte met andere hardware?

Sorry maar dit is nog al een extreem theoretisch verhaal dat in werkelijkheid niet mogelijk is. Toen ik bij Cisco op bezoek was en men veranderingen in de core code van hun DHCP server door moest voeren na dat we er tijdens een trainings sessie een bug in vonden was het echt niet zo dat de originele auteur gewoon even met zijn laptop onder z'n arm de kamer met toegang tot de sources binnen wandelde. Eerst moest alle hardware aan de kant en was er een metaal detector die in de gaten hield of er niet stiekem toch iets naar binnen ging dat daar niet hoorde. Ook is er een camera (althans dat is mij verteld ik mocht daar natuurlijk niet naar binnen) die de ruimte constant in de gaten houd om te voorkomen dat iemand dingen doet die ze niet moeten doen)

Het is een schattig idee maar ik weet vrij zeker dat in een fatsoenlijke organisatie die echt een air gapped systeem heeft staan je dit soort "hacks" niet zo maar kunt uitvoeren. Ook is de kamer in het midden van het gebouw geen ramen en geluidsisolatie om op deze manier te voorkomen dat iemand dingen zou kunnen horen (was ook een "hack" om je keyboard letterlijk af te luisteren).

Ondanks dat het een leuk idee is en knap dat het men lukt om dit soort dingen te doen lijkt het me zeer onpraktisch om dit in een real world scenario te doen.

LittleKiller 20 juli 2022 10:44

Dit zijn de titel is ontzettend tamelijk beangstigende berichten, maar realistisch gezien moet je hiervoor een meetinstrument op de satakabel plaatsen. Lijkt me niet echt iets om bang voor te zijn. Het verbaast me echter niets dat dit kan, omdat je gewoon het datasignaal manipuleert

[Reactie gewijzigd door LittleKiller op 31 juli 2024 13:18]

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Malware

@LittleKiller • 20 juli 2022 11:05

maar realistisch gezien moet je hiervoor een meetinstrument op de satakabel plaatsen.

Het rapport spreekt over airgapped met een afstand van maximaal 1,2 meter. Waar maak jij uit op dat er fysiek een sensor / meetinstrument op de kabel moet worden geplaatst? Als je dat doet ben je niet meer zo gebonden aan de 1,2 meter namelijk.

Auteur

TijsZonderH Nieuwscoördinator @LittleKiller • 20 juli 2022 11:11

Je kunt niet heel veel meer informatie kwijt in 80 tekens. Het woord 'onderzoekers' maakt dit wat mij betreft genuanceerd genoeg dat je er niet meteen bang voor hoeft te worden, de rest van het artikel is daar ook genuanceerd in.

dasiro @TijsZonderH • 20 juli 2022 14:35

dit gaat natuurlijk enkel over data-exfiltratie van een geïnfecteerd. Als je met een bepaalde frequentie acties laat gebeuren dan kan je quasi eender welke component gebruiken als medium en dit is gewoon de zoveelste in het rijtje.

Hoe een airgapped systeem geïnfecteerd raakt is heel andere koek en daar zijn ze vaak helemaal niet mee bezig (dat zal wel in een aparte mossad-afdeling gebeuren en niet in deze universiteit)

Magic @LittleKiller • 20 juli 2022 10:47

Dat niet alleen, je moet de machine ook nog eens besmetten met malware. Misschien een probleem voor geheime overheidsinstanties waar dergelijke spionage misschien realistisch is, maar voor het MKB niet echt een dreiging.

84hannes @Magic • 20 juli 2022 11:01

De veiligheid van air-gapped netwerken gaat er van uit dat je geen data door de air-gap kunt versturen. Er moeten natuurlijk heel wat hobbels genomen worden voordat je deze aanval kunt uitvoeren, maar al die hobbels zijn andere vormen van beveiliging. Vergeet niet dat bij stuxnet een groot aantal veiligheidsproblemen werd gecombineerd om een systeem te kunnen compromiteren. Ook deze aanval is op zichzelf niet bruikbaar, maar kan in combinatie met andere, al dan niet fysieke, veiligheidsproblemen tot exfiltratie van geheime data leiden.

Magic @84hannes • 20 juli 2022 12:12

Dat klopt inderdaad. mijn laatste regel had wellicht beter "maar voor het MKB op zichzelfstaand niet echt een dreiging." kunnen zijn

kimborntobewild @Magic • 20 juli 2022 13:51

Dat klopt inderdaad. mijn laatste regel had wellicht beter "maar voor het MKB op zichzelfstaand niet echt een dreiging." kunnen zijn

Al dan niet op termijn, en met name als de meetapparatuur zich verder ontwikkeld (lees: op grotere afstanden de data kunnen lezen), is dit voor iedereen die computers (waar SATA-kabels in zitten) gebruikt, een dreiging. Incl. het MKB.

Magic @kimborntobewild • 20 juli 2022 13:56

Tegen de tijd dat de techniek zo ver is dat letterlijk een datastroom op een sata kabel real-time op afstand uitgelezen kan worden (nu nog 1 bit per seconde, en de datastroom wordt letterlijk door malware geencode op een airgapped systeem) dan lig ik allang bloemetjes van onderaf te drukken en is sata al niet meer een normale standaard. Voor niet-airgapped systemen zijn andere attack vectors vele malen logischer en makkelijker.

kimborntobewild @Magic • 20 juli 2022 14:09

Tegen de tijd dat de techniek zo ver is dat letterlijk een datastroom op een sata kabel real-time op afstand uitgelezen kan worden (nu nog 1 bit per seconde, en de datastroom wordt letterlijk door malware geencode op een airgapped systeem) dan lig ik allang bloemetjes van onderaf te drukken en is sata al niet meer een normale standaard. Voor niet-airgapped systemen zijn andere attack vectors vele malen logischer en makkelijker.

Dit is alleen wat bekend is gemaakt (c.q. wat nu publiek is). Wat gebeurt er als de NSA het oppikt (voor zover ze het niet al lang wisten), en er zeer sterke meetapparatuur voor maakt? Of misschien hebben ze dat al lang.
Andere voorbeeldjes: BlueTooth zou ook maar een meter of 20 moeten werken. Met sterke ontvangers echter, is het op véél grotere afstand mogelijk. De NSA gebruikte tientallen jaren geleden al zware zenders/ontvangers (die qua straling slecht waren voor de gezondheid voor de mensen in de betreffende straat) waarmee men op afstand kon zien wat men op zijn scherm had staan.

[Reactie gewijzigd door kimborntobewild op 31 juli 2024 13:18]

Magic @kimborntobewild • 20 juli 2022 14:24

Dat is wel heel erg speculeren, als een organisatie als de NSA het op je gemunt heeft als MKB-er dan heb je iets flink fout gedaan, of je valt niet in de categorie "mkb". Daarnaast als je zo gaat denken dan kun je net zo goed alle beveiliging laten vallen, want dan beschermt niks je meer.

Een beetje paranoïde zijn is goed in de informatiebeveiligingsindustrie, maar je kunt het ook overdrijven.

MSalters

Wetenschap

@kimborntobewild • 20 juli 2022 21:31

[...]
Wat gebeurt er als de NSA het oppikt (voor zover ze het niet al lang wisten), en er zeer sterke meetapparatuur voor maakt?

Dan pikken ze de SATA kabels van de hele wijk op, door elkaar gemixt. En Wifi van de hele stad.

Het probleem is dat die SATA kabels maar een paar fotonen lekken, fotonen met een energie van ongeveer 6 Ghz. Maar die fotonen zijn bepaald niet zeldzaam. WiFi6 produceert ze massaal. Dit onderzoek laat zien dat je in een redelijk schone omgeving net het verschil kunt zien tussen "veel fotonen" - "weinig fotonen". Dát verschil is die ene bit.

De NSA kan natuurlijk een truc uithalen zoals met SSD's gedaan is, zoals MLC en TLC. Dan kunnen ze van 1 naar 2 of 3 bits per seconde. Yay.

84hannes @kimborntobewild • 20 juli 2022 16:02

dit voor iedereen die computers (waar SATA-kabels in zitten) gebruikt, een dreiging. Incl. het MKB.

Nee hoor, het gaat hier niet om het feit dat SATA op afstand uit te lezen is. Het gaat hier om het feit dat SATA gebruikt kan worden data uit air-gapped netwerken te exfiltreren. Jij en ik hebben geen air-gapped netwerk; als iemand malware op mijn pc zet zal die gene wel gek zijn om SATA te misbruiken om met 1bps data iets meer dan een meter verderop te krijgen, als er een internetverbinding klaar ligt om data met 100mbps naar de andere kant van de wereld te versturen.

Dit is echt alleen een probleem voor geheime netwerken die air-gapping gebruiken.

[Reactie gewijzigd door 84hannes op 31 juli 2024 13:18]

Joep @LittleKiller • 20 juli 2022 10:57

Hoezo is dit beangstigend? Heb je soms een airgapped netwerk thuis? Dit is zo ontzettend omslachtig dat ik denk dat deze specifieke manier nooit in de praktijk zal worden uitgevoerd, omdat er betere manieren zijn. Stuxnet is bijvoorbeeld via een Nederlandse mol het airgapped netwerk van de verrijkingsfaciliteit te Natanz in Iran ingekomen.

Edit: Je hebt je post wel flink onder handen genomen

[Reactie gewijzigd door Joep op 31 juli 2024 13:18]

Sissors @LittleKiller • 20 juli 2022 10:58

Daarom zijn het niet zo beangstigende berichten imo

. Impact op air-gapped situaties is eigenlijk voor normale persoon bijna nooit direct relevant, immers gebruiken de meeste mensen geen air-gapped computers.

Maar algemeen lijkt deze groep gewoon steeds verder gezochte methodes te zoeken waarop in theorie een PC kan communiceren. Begonnen met helderheid van scherm subtiel aan te passen als je toegang hebt tot beveiligingscameras, was al behoorlijk ver gezocht imo, maar goed, in zo'n specifieke situatie kan het werken. Maar dan moet je dus al malware op de air gapped PC hebben staan, en toegang tot hun beveiligingscameras. Maar nu moet je een RF ontvanger erbij hebben staan? En dan nauwelijks data eraf krijgen.

Laat ik maar alvast het volgende voorstel doen: malware past aan hoeveel energie de PC verbruikt. Dit warmt de ruimte op. Met een externe IR camera kan je dit detecteren. Kan je toch een bitje per uur versturen.

Cyberpuppy @Sissors • 20 juli 2022 15:31

Ik ben ook wel eens benieuwd hoe groot de gebruikte antenne is. In principe is een pc/server een kooi van faraday, en dan op 1,2m. een 6GHz signaal gaan ontvangen vraagt wel wat.

Boxman @LittleKiller • 20 juli 2022 10:49

Een ‘hack’ waarvoor je fysieke toegang tot de machine nodig hebt en die ook nog eens niet verder dan 1.2meter van de machine komt lijkt me nou niet echt beangstigend.

Daarbij wordt er nieteens versleutelde of uberhaupt onversleutelde informatie van het apparaat zelf buitgemaakt..

[Reactie gewijzigd door Boxman op 31 juli 2024 13:18]

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Malware

@Boxman • 20 juli 2022 11:02

Dit soort zaken zijn voornamelijk interessant binnen high secure omgevingen maar ook als proof of concept. Die 1.2 meter kan in de toekomst wellicht behoorlijk worden opgeschroefd. Hetzelfde geldt voor de snelheid.De huidige mogelijkheden hoeven niet het eindstation te zijn.

MSalters

Wetenschap

@Bor • 20 juli 2022 21:34

Wat wil je verbeteren? De antenne is niet onder je controle, dat is een standaard SATA kabel. De ontvanger is ruis-beperkt, en het idee van een air-gapped omgeving is dat de aanvaller er fysiek niet zo veel kan (anders zou die aanvaller gewoon een kabel inprikken, of een 4G modem, of ...)

En Shannon-Hartley zegt dat diezelfde ruis ook je bandbreedte beperkt.

LittleKiller @Boxman • 20 juli 2022 10:50

Ja fair, maar de headline sluit niet helemaal aan op de inhoud in die zin

_eLMo_

20 juli 2022 10:46

Ik denk dat dit in de moderniteit niet zo boeiend is? Iedereen gebruikt disk encryptie, toch?

eamelink @_eLMo_ • 20 juli 2022 10:54

Het doel is niet om de data die van en naar de disk gaat op te vangen. Het doel is om informatie van de computer te exfiltreren, op wat voor manier dan ook, die door malware is verzameld.

Als een aanvaller weet dat Pietje zijn bitcoin private key op een airgapped computer heeft staan, en het lukt hem om malware op Pietjes computer te krijgen en de malware heeft de private key te pakken, dan zit de aanvaller met het probleem dat die private key nog wel naar hem verstuurd moet worden, wat niet zo gemakkelijk is op een airgapped computer.

En daar is dit een methode voor.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Malware

@_eLMo_ • 20 juli 2022 11:07

Ik denk dat dit in de moderniteit niet zo boeiend is? Iedereen gebruikt disk encryptie, toch?

De data op de disk hoeft het doel niet te zijn. Je zou via deze methode informatie kunnen lekken uit het geheugen waar het niet geencrypt is. De sata kabel is min of meer alleen maar het medium wat wordt gebruikt om de informatie over te dragen als een soort covert channel.

Secsytime @_eLMo_ • 20 juli 2022 10:47

De data zal ontsleuteld van de schijf af gaan?

Rataplan_ @Secsytime • 20 juli 2022 10:51

Nee, die staat versleuteld op de disk en wordt door de CPU decrypted. Tenzij je fysieke encryptie op de disk zelf gebruikt. Maar de Bitlockers en anders softwarematige oplossingen worden pas in de CPU decrypted.

_eLMo_

@Secsytime • 20 juli 2022 10:50

Disk encryptie op de schijf zelf zelf weinig nut hebben ja. De encryptie moet plaatsvinden op het moederbord (Filevault 2 werkt bijvoorbeeld op die manier).

Het lijkt me dat je dan vrij goed het gebruik dat de SATA kabel als "antenne" kan tegen gaan, omdat je geen directe controle meer hebt over het tempo en timing tussen read operations naar de hardeschijf.

Met voldoende geduld wellicht nog steeds, maar 1bit/s is al vrij onbruikbaar, dus laat staan als je dat nog eens gedeeld door tien doet.

[Reactie gewijzigd door _eLMo_ op 31 juli 2024 13:18]

Zoop @Secsytime • 20 juli 2022 14:02

Het is niet dat deze methode simpelweg het verkeer dat over de sata kabel gaat uitleesbaar maakt (al zou dat wel zo zijn, dan heb je er niet veel aan met 1bit/sec).

De sata kabel wordt als een soort antenne gebruikt om data uit te zenden die de malware verzameld heeft. Versleuteling staat dus kompleet buiten dit verhaal. Mocht je onversleutelde data willen gaan sturen, dan is dat aan de malware om dat ergens vandaan te halen. Maar het verzenden via sata kabel staat er los van.

SpcCwb @_eLMo_ • 20 juli 2022 10:51

Lijkt me eerder de vraag wie er in de moderniteit nog sata kabels gebruikt.

mjtdevries

Wetenschap

@SpcCwb • 20 juli 2022 11:32

Jouw moederbord heeft sata lijnen er op zitten.
In de test gebruikten ze laptops. Die hebben geen sata kabels zoals jij in gedachten hebt bij een desktop.

MSalters

Wetenschap

@mjtdevries • 20 juli 2022 21:40

De laptops in de test waren voor de SDR (Software Defined Radio) ontvanger. Zie tabel III, de zenders waren desktops. Figuur 3 maakt zelfs expliciet dat het de SATA kabel is.

Sowieso, een niet-aangesloten SATA lijn op het moederbord zou ongeschikt zijn als antenne.

mfkne 20 juli 2022 10:49

Dit soort moeilijk (of haast onmogelijk) in de praktijk uit te voeren aanvallen zijn vrijwel altijd afkomstig uit Israel. Ik vraag me af waarom.

Sissors @mfkne • 20 juli 2022 11:00

Omdat er daar één professor zit die elk jaar weer een vreemdere oplossing zoekt voor dit 'probleem'.

mjtdevries

Wetenschap

@Sissors • 20 juli 2022 11:38

Of elke keer een ander onderdeel van je computer pakt dat een rf signaal uitzend.
Eigenlijk is dit niet erg bijzonder. Als je bedenkt dat ze CPUs afluisteren door middel van de rf signalen die van die dingen af komen, dan is het eigenlijk maar een kleine stap om opzettelijk een signaal op een sata kabel te zetten wat je vervolgens kunt ontvangen.

En aangezien dit van een universiteit komt kun je je afvragen of dit wellicht meer een mooi afstudeer project voor een student is.

Dutch_CroniC @Sissors • 20 juli 2022 12:28

Om t daarna een pakkende naam, zoals satan, mee te geven.

moredruid @Sissors • 20 juli 2022 13:35

Dat zie je dus verkeerdom.
Hij zoekt geen oplossing maar creeert een probleem door een zwak punt op te zoeken in iets waarvan gedacht werd dat dit geen problemen kon geven. Ook mensen die vinden dat dit een open deur is want "alles geeft wel iets van een frequentie af" zien kennelijk de meerwaarde ervan niet.

Punt is dat er exfiltratie van data gedaan kan worden zonder dat hier een fysieke connectie voor nodig is. Dit zou bijv. code kunnen zijn die draait op lanceerinrichtingen, die dan weer te analyseren is en mogelijk in de toekomst via een "write" exploit zelfs te blokkeren. Hoe meer aanvalsvectoren je hebt, hoe groter de kans op slagen.

Sissors @moredruid • 20 juli 2022 14:07

Hij zoekt wel degelijk een oplossing. Het probleem is: "Hoe krijg ik data van een airgapped systeem af". Hij komt met ideeën daarvoor. Maar elk nieuw idee waar hij mee komt is nog verder gezocht dan het oude imo.

-ION- @mfkne • 20 juli 2022 11:12

Omdat in Israël relatief veel (wetenschappelijk) onderzoek wordt gedaan in de hoek van cybersecurity. Aan de ene kant omdat Israël dit nodig acht voor zijn staatsveiligheid, en daarom dit werkt financiert. En aan de andere kant omdat andere landen hier ook gretig gebruik van maken en daarom dit type onderzoek ook direct of indirect financieren. Werk je als docent of onderzoeker op een universiteit dan wordt er vaak van je verwacht dat je minimaal een x aantal wetenschappelijke papers publiceert. Universiteiten worden namelijk gerangschikt/afgerekend op het aantal publicaties van hun onderzoekers en het aantal citaties daarvan. Kwantiteit gaat vaak boven kwaliteit, en een onderzoek met een spraakmakende titel of abstract zoals dit onderzoek, 'presteert' vaak goed.
Overigens kan dit onderzoek een begin zijn van een nieuwe reeks onderzoeken in deze ingeslagen richting. Of iets nuttig is geweest of niet, valt vaak pas over een langere tijd te zeggen.

Drardollan 20 juli 2022 11:03

Dit doet mij aan vervlogen tijden denken, dat je je CRT beeldscherm niet te dicht bij een buitenmuur/raam moest plaatsen omdat er middels opvangen van radiogolven een kopie van het scherm kon worden gemaakt. Ik weet dat het technisch kan, maar net als in bovenstaande situatie lijkt mij de kans groter dat je morgenavond op Mars gaat slapen.

Waarmee ik zeker niet zeg dat dit soort onderzoeken zinloos zijn, ze geven inzicht in de mogelijkheden en risico's die we lopen.