Datenleck durch SATA-Kabel / Sudo Null IT News

Mordechai Guri, ein Forscher an der israelischen Ben-Gurion-Universität, veröffentlichte eine neue

Arbeit

, Erweiterung eines ziemlich spezifischen Wissensgebiets im Bereich Sicherheit: Methoden zum Datendiebstahl von Systemen, die vom Netzwerk getrennt sind. In Ermangelung einer Internetverbindung (oder zumindest zu einem durchdringbaren lokalen Netzwerk innerhalb der Organisation) können nur indirekte, oft sogar nicht offensichtliche Kommunikationswege genutzt werden, um Daten auszuschleusen. Ein typisches Einsatzgebiet für solche Tricks sind die am besten vor äußeren Störeinflüssen geschützten Steuerrechner in der Industrie.

In einer aktuellen Studie wurden SATA-Kabel als Mittel zum Datenleck untersucht, an denen eine Festplatte oder SSD in der Systemeinheit angeschlossen ist. Der Autor der Arbeit bestätigte, dass das Zusammenspiel des SATA-Controllers mit dem Laufwerk zu einer störenden Funkemission des Kabels mit einer Frequenz von etwa 6 GHz führt. Durch das Senden einer speziellen Befehlsfolge zum Lesen oder Schreiben von Daten war der Forscher in der Lage, Informationen auf Funkfrequenzen von einem vom Netzwerk isolierten Computer zu übertragen.

Datenlecks über Drittkanäle sind eine interessante theoretische Übung, deren Wahrscheinlichkeit in der Praxis eher gering ist. Genauer gesagt ist der Umfang der Ausnutzung solcher Hacks so begrenzt, dass die Öffentlichkeit wahrscheinlich nicht von ihrer tatsächlichen Verwendung erfahren wird. In all diesen Szenarien wird davon ausgegangen, dass ein von jedem Netzwerk isolierter Computer bereits irgendwie mit Malware infiziert ist, die im Interesse des Angreifers handelt. Dies ist an sich keine einfache Aufgabe, deren Lösung den Rahmen einer solchen Arbeit sprengen würde. Aber es gibt ein praktisches Beispiel für eine Infektion: Dies ist ein bekannter Angriff

Stuxnet

bei der isolierte PCs Schadcode über einen USB-Stick erhielten.

Im „einfachsten“ Fall können dieselben Flash-Laufwerke zum Datendiebstahl verwendet werden, wenn sie dann mit einem Computer mit Internetzugang verbunden werden. Komplexere Methoden sind von viel größerem Interesse. 2018 haben wir bereits über eine ähnliche Studie geschrieben, bei der der Monitor zur Quelle des Leaks wurde. Wenn sich das Bild auf dem Bildschirm änderte, änderte sich das vom Element in der Stromversorgung abgegebene hochfrequente „Quietschen“. Die Autoren der Arbeit nahmen den „Sound vom Monitor“ auf, analysierten ihn mit maschinellen Lernalgorithmen und trainierten sie auf Interferenzmuster, wenn beispielsweise Text auf dem Bildschirm angezeigt wird. Es stellte sich als mäßig unzuverlässig heraus: Für eine sichere Erkennung des auf dem Bildschirm angezeigten Passworts war es erforderlich, dass die Zeichen sehr groß waren.

In der Arbeit von Mordechai Guri gibt es wie üblich viele Hinweise auf andere Studien über Datendiebstahl auf nicht triviale Weise. Darunter: Datenübertragung per Funk über USB-Schnittstelle, Rückgeld Desktop-Lüfterdrehzahlen, so dass Daten durch die daraus resultierenden Vibrationen des Gehäuses übertragen werden können, sowie Anpassung Standard-Datenaustausch zwischen Prozessor und RAM, um eine Strahlung mit einer Frequenz von 900 MHz zu erzeugen, die ungefähr dem GSM-Standard entspricht (damit Sie das Leck mit einem Mobiltelefon mit geänderter Firmware auslesen können). In einer aktuellen Arbeit analysierte der Forscher zunächst die störende Funkemission beim normalen Arbeiten mit einer Festplatte über die SATA-Schnittstelle:

Außerdem wurde die Übertragung kleiner Datenpakete zum Laufwerk getestet – so dass auf dem Spektrogramm charakteristische Bursts einer bestimmten Dauer von 0,2 bis 1,2 Sekunden auftauchten. Durch Kombinieren von Funksignalen unterschiedlicher Dauer können Daten per Funk übertragen werden. Hier ist das Ergebnis:

Achten Sie auf die Dauer der Übertragung eines Wortes mit sechs Buchstaben: fast 40 Sekunden. Bei der Lösung eines so spezialisierten Problems ist dies möglicherweise kein großes Problem. Die wirkliche Einschränkung des Verfahrens ist die extrem geringe Entfernung von der Funksignalquelle zum Empfänger. Bei einer Fehlerquote von 1-5% beträgt der maximale Abstand 90 Zentimeter. Das Maximum bei noch tolerierbaren Ablesefehlern von 15 % liegt bei zwei Metern, dh der Empfänger muss sich im gleichen Raum wie der angegriffene Rechner befinden.

In der Liste der Empfehlungen, um die Wahrscheinlichkeit eines Datendiebstahls auf diese Weise zu verringern, spricht der Autor der Arbeit vor allem über den Schutz vor Malware, naja, oder über deren rechtzeitige Erkennung. Dies ist ein realistischerer Weg, um ein kritisches System zu sichern, als später Funkfrequenzen auf mögliche Lecks zu scannen. Das Scannen der Luft wird durch die Tatsache extrem kompliziert, dass unechte Aufnahmen vom Betrieb von SATA (und möglicherweise von anderen Computergeräten) immer vorhanden sind, und es ist ziemlich schwierig, zwischen normalem Betrieb und Spionage zu unterscheiden.

Was sonst noch passiert ist

Forscher bei Kaspersky Lab

veröffentlicht

eine Übersicht über zwei ausführbare Dateien, die Daten verschlüsseln und bei Ransomware-Angriffen verwendet werden. Eine der Ransomware ist in Rust geschrieben.

In beliebten in China hergestellten industriellen GPS-Trackern wurden schwerwiegende Schwachstellen entdeckt, die es ihnen ermöglichen, die Kontrolle zu übernehmen (Nachrichten, Pdf Forschung). Tracker werden unter anderem zur Überwachung der Bewegung von LKWs in Transportunternehmen eingesetzt. Neben dem Sammeln von Informationen kann das Hacken von Trackern schwerwiegendere Folgen haben, da diese Geräte (je nach Konfiguration) die Kraftstoffzufuhr aus der Ferne abschalten können.

Updates für Apple-Betriebssysteme abgeschlossen ein weiteres Paket von Schwachstellen. Der gefährlichste unter ihnen ist CVE-2022-2294, ein Fehler in der WebRTC-Komponente für die Audio- und Videokommunikation. beeinflussen auch der Google Chrome-Browser (und dort wurde er zum Zeitpunkt der Entdeckung bei echten Angriffen verwendet).

Microsoft ist immer noch einführen ein Verbot, Makros in aus dem Internet heruntergeladenen Dokumenten auszuführen. Eine solche Einschränkung wurde Anfang des Jahres angekündigt, aber das Unternehmen gab kürzlich bekannt, dass es die Pläne vorübergehend ändert, offenbar aufgrund von Kompatibilitätsproblemen mit Clients, die auf Makros angewiesen sind. Für die meisten Benutzer sind Makros in Office-Dokumenten eine zuverlässige Möglichkeit, Malware abzufangen. Nach dem Update ist die bisher vorhandene Option zum Aktivieren von Makros nicht mehr verfügbar.

Similar Posts

Leave a Reply

Your email address will not be published.