Attacchi side channel: SATAn, Powerhammer e simili

Sembra uscita dall’ultimo film di Mission:Impossible la forma di attacco riportata questa settimana dal ricercatore Mordechai Guri, che consiste nell’utilizzare la modulazione delle onde elettromagnetiche per trafugare dati anche da sistemi che non hanno alcun accesso alla rete, detti cioè air-gapped.

Nel dettaglio, si tratta di un attacco poco versatile, in quanto richiede che il dispositivo per ricevere i dati sia a non più di un metro di distanza dalla fonte, ma un vettore comunque interessante che fa parte degli attacchi detti side channel e che è stato già replicato in passato con altri bus, usando lo stesso principio: usare del codice scritto ad hoc per generare delle variazioni molto specifiche nel flusso di corrente elettrica cosicchè le debolissime onde elettromagnetiche che si vengono a generare contengano anch’esse delle informazioni. Tutto ciò, senza modificare l’hardware di partenza:

In questo video, possiamo osservare come il ricercatore utilizza la tecnica sopra descritta e, con del codice appropriatamente studiato, trasforma il cavo SATA che connette l’hard disk con la scheda madre in un vera e propria antenna operante sulla frequenza di 6 Ghz, il cui segnale viene rilevato da un’altra antenna ricevente (in questo caso, un semplice dongle USB attaccato al laptop).

Attacchi simili erano stati dimostrati dallo stesso gruppo di ricerca anche in diverse altre varianti e hanno tutte in comune l’utilizzo della modulazione per codificare dei dati in un segnale, sia esso elettromagnetico o luminoso. Ad esempio, è stato dimostrato lo stesso tipo di attacco anche tramite linea elettrica, denominato PowerHammer, che viene descritto così:

In this paper we present PowerHammer, a new type of attack that uses the power lines to exfiltrate data from air-gapped computers. We implemented a malicious code that controls the power consumption of a computer by regulating the momentary utilization of the CPU cores. Data is modulated in the fluctuations of the power consumption, and then conducted from the power supply to the power lines. In line level power-hammering, the attacker places a probe on the the power cables feeding the computer. In phase level power-hammering the probe is placed in the main electrical service panel of the whole floor. The attacker measures the conducted emission on the power lines, processes the signal and decodes it back to binary information. We evaluated the covert channel indifferent scenarios with three types of computers: a desktop PC, a server and a low power IoT device. We checked the effect of various forms of interference and the use of virtual machines on the transmissions. We also examined detection and prevention countermeasures. The results show that data can be exfiltrated from air-gapped computers through the power lines at bit rates of 1000 bit/sec for line level power-hammering, and 10 bit/sec for phase level power-hammering.

In buona sostanza, del codice malevolo è in grado di saturare la CPU a intervalli precisi, così da generare picchi e valli di carico elettrico (momenti in cui la CPU consumerà di più e momenti in cui consumerà di meno, verosimilmente associati alle cifre binarie 1 e 0 che corrisponderanno ai dati da esfiltrare). Il bit-rate, come notiamo dalla citazione, non è elevato, ma sono cifre comunque pericolose se si pensa al fatto che per memorizzare un numero di carta di credito servono meno di 30 byte.

Non c’è limite alla fantasia, quando si mette in mezzo la fisica, e attacchi analoghi sono stati concettualmente dimostrati in decine di varianti, persino con l’utilizzo della luminosità dei led di hard disk e monitor o utilizzando come antenne i banchi di memoria RAM.

E’ necessario preoccuparsi di questo tipo di attacchi? Probabilmente no, ma ci ricordano che, in aggiunta alla sicurezza digitale, fatta di bit e regole firewall, esiste ancora un mondo reale attorno alle nostre macchine di cui non ci si può dimenticare.

Tags: , ,