image

Malware kan via ventilator data van offline computer stelen

vrijdag 24 juni 2016, 12:27 door Redactie, 28 reacties

Onderzoekers hebben malware ontwikkeld die in staat is om via de luchtventilatoren van de computer data te stelen van computers die niet met het internet verbonden zijn. Vanwege het risico op aanvallen is het een veel gegeven advies om computers met vertrouwelijke data niet op internet aan te sluiten.

Een offline computer kan nog steeds worden geïnfecteerd, bijvoorbeeld via usb-sticks. Om vervolgens van een besmette offline computer data te stelen ontwikkelden onderzoekers verschillende methodes, zoals het gebruik van de speakers, zowel intern als extern, om via geluidssignalen de gegevens direct naar de aanvaller of een wel met internet verbonden besmette computer of smartphone terug te sturen. Deze besmette computer of smartphone zou vervolgens de gegevens naar de aanvallers kunnen versturen.

Als oplossing kregen beheerders van offline computers het advies om de speakers van het systeem uit te schakelen of te verwijderen, om zo een 'audio-gap' te creëren. Onderzoekers van de Ben-Gurion Universiteit in Israël hebben echter toch een manier gevonden om zelfs van dit soort systemen gegevens te stelen. Namelijk via de ventilatoren in de computer. Via software is het namelijk mogelijk om de snelheid van de ventilatoren te regelen en zo een akoestisch signaal te genereren.

De onderzoekers ontwikkelden hiervoor malware genaamd Fansmitter (pdf) dat de ventilatoren als audiokanaal gebruikt en succesvol gegevens naar een smartphone in dezelfde kamer kan versturen. Vanaf een afstand van 8 meter is het bijvoorbeeld mogelijk om met een snelheid van 900 bits per uur encryptiesleutels en wachtwoorden door te sturen. De methode kan ook worden gebruikt om gegevens van andere it-apparatuur, embedded systemen en Internet of Things-apparaten te lekken die niet over audio-hardware beschikken maar wel over ventilatoren.

Tegenmaatregelen

Om dergelijke aanvallen te voorkomen zijn er volgens de onderzoekers drie soorten tegenmaatregelen, namelijk procedureel, softwarematig en hardwarematig. Zo moeten de offline computers in kamers worden gebruikt waar het niet is toegestaan om een smartphone, microfoon of andere apparatuur mee te nemen. Via de softwarematige aanpak kan het systeem op malware en manipulatie van de ventilatoren worden gecontroleerd. Wat betreft de hardwarematige oplossing kan er met geluidsdetectie naar geluidsgolven op bepaalde frequenties worden gemonitord. Een andere oplossing is het gebruik van een 'noise-blocker' of het overstappen op bijvoorbeeld waterkoeling.

Image

Reacties (28)
24-06-2016, 12:44 door Anoniem
Of de ventilator loskoppelen van de PC.
24-06-2016, 12:45 door Anoniem
Beetje flauw, aangezien de computer al van tevoren geinfecteerd zal moeten zijn.
(Via usb-stick of andere methode, infectie via ventilator zie ik nog niet gebeuren)

Verder zal je nog naar de computer willen communiceren, je kan immers moeilijk de hele harde schijf continu versturen middels ventilator met 900 bits per uur. Waarbij het merkwaardig wisselende tempo van de ventilator nogal op zou vallen.
Een microfoon of andere methode van data ontvangen zal dus ook wenselijk zijn om deze 'hack' zinvol te maken.

Ten slotte gok ik dat de gemiddelde airgapped computer niet in een ruimte staat waar mobieltjes wel toegestaan zijn.

Dus geinig, maar denk niet dat de NSA dit in zijn hacking-pakket zal opnemen, dan zijn de andere zogeheten side-channel aanvallen interessanter.
(om er eens 1 te noemen: https://www.security.nl/posting/461287/Onderzoekers+stelen+encryptiesleutels+van+offline+laptop)
24-06-2016, 12:54 door Reinder
Toen ik een jaar of wat geleden hoorde dat een air gap overbrugt was via de pc-speaker dacht ik dat het niet gekker kon, maar het blijkt dus toch te kunnen. Het is fascinerend, intrigerend en een tikje beangstigend tegelijkertijd.
24-06-2016, 13:00 door Anoniem
Door Reinder: Toen ik een jaar of wat geleden hoorde dat een air gap overbrugt was via de pc-speaker dacht ik dat het niet gekker kon, maar het blijkt dus toch te kunnen. Het is fascinerend, intrigerend en een tikje beangstigend tegelijkertijd.
Oplossing: zet een externe ventilator er vlak bij, en genereer ad random brom-geluidjes.
24-06-2016, 13:04 door Anoniem
Tegenmaatregelen ... misschien de ventilator direct op de voeding aansluiten?
24-06-2016, 13:08 door Anoniem
Oude hardeschijf activiteit, wil de Head nog wel eens kraken. Of custom driver en gewoon de Head keihard tegen de rand aanslaan, zoals bij de "hdd Sound of death"
24-06-2016, 13:22 door Anoniem
Leuke gimmick, maar 900 bits/s... Een afstand van 8m, maar aangezien het om zwakke signalen gaat zal het toch in dezelfde ruimte moeten zijn.

Een offline PC die via een USB geinfecteerd wordt... Ok... Kan (en gebeurd), maar dan kan je (in dit geval) de encryptie-sleutel op dezelfde USB terug schrijven...
24-06-2016, 13:25 door Anoniem
1 apr .... o nee wacht.
24-06-2016, 15:06 door Anoniem
Door Anoniem: Beetje flauw, aangezien de computer al van tevoren geinfecteerd zal moeten zijn.
(Via usb-stick of andere methode, infectie via ventilator zie ik nog niet gebeuren)

Verder zal je nog naar de computer willen communiceren, je kan immers moeilijk de hele harde schijf continu versturen middels ventilator met 900 bits per uur. Waarbij het merkwaardig wisselende tempo van de ventilator nogal op zou vallen.
Een microfoon of andere methode van data ontvangen zal dus ook wenselijk zijn om deze 'hack' zinvol te maken.

Ten slotte gok ik dat de gemiddelde airgapped computer niet in een ruimte staat waar mobieltjes wel toegestaan zijn.

Dus geinig, maar denk niet dat de NSA dit in zijn hacking-pakket zal opnemen, dan zijn de andere zogeheten side-channel aanvallen interessanter.
(om er eens 1 te noemen: https://www.security.nl/posting/461287/Onderzoekers+stelen+encryptiesleutels+van+offline+laptop)

Ik zie het ook meer als het scoren van een research publicatie en presentatie slot op de een of andere conferentie dan een enorm probleem wat hier blootgelegd is.

Maar goed, met enige fantasie en wat aannames kun je wel een scenario maken waarin je een dergelijk sidechannel nodig hebt .
De lage bandbreedte (en one-way) maakt het eigenlijk alleen nuttig voor kleine maar bijzonder waardevolle data.
Per saldo encryptiesleutels dus .
Dan krijg je visioenen van een airgapped master-certificate signing systeem, waarbij een malicious insider (of onwetende insider) kan infecteren en het exfiltreren van de secret key via een side channel als dit moet gebeuren.
Het vergt wel wat fantasie en aannames, maar goed, er is wel een (film?) scenario bij te verzinnen.
24-06-2016, 15:18 door Anoniem
tegen maatregelen: geen Intel CPU en geen moederbord meer kopen waar de Inte MEI engine in zit, en die ook geen EUFI bios heeft...

Want deze MEI engine geeft de indringers totale controle over jouw pc, en hiermee kunnen ze dus op afstand ook de CPU FAN's regelen
24-06-2016, 15:21 door Anoniem
Ja als je op 2 computers speciale software gaat installeren die een communicatie protocol tussen die twee
computers regelt dan heb je een gap overbrugd. Tjonge jonge zeg, is dat het peil van het onderzoek daaro?

Dit is natuurlijk hardstikke leuk spelen maar in de praktijk heb je er niks aan als het om kwaadwillende doeleinden
gaat want je moet OOK nog toegang hebben tot een computer die WEL op een netwerk zit en die de juiste
toerusting heeft (microfoon in dit geval, en de software).
24-06-2016, 15:51 door Anoniem
Elcootje van 1000µF tussen de ventilatordraadjes. 25 cent.
24-06-2016, 15:55 door Anoniem
Von Eck phreaking nog beter, al begin jaren 80 bekend geworden.
Het afvangen van de monitorkabel straling middels een richtantenne en zo 100 meter verderop het beeld zichtbaar maken.
24-06-2016, 16:06 door Anoniem
Blijkbaar krijgt deze club teveel onderzoeksbudget. Ik kan er nog wel een paar bedenken waaronder CD/DVD-ROM speler op verschillende snelheden laten draaien of de printer aansturen, harddisk-LED beinvloeden e.d. Ik vindt overigens 900 bits per uur erg teleurstellend... Dat is maar 15 bits per minuut.
24-06-2016, 17:26 door Anoniem
Door Anoniem: Von Eck phreaking nog beter, al begin jaren 80 bekend geworden.
Het afvangen van de monitorkabel straling middels een richtantenne en zo 100 meter verderop het beeld zichtbaar maken.

Lees de van Eck artikelen nog eens.

De bron van het signaal was de elektronenstraal die de glazen beeldbuis beschrijft .
Tientallen milli-amperes en iets van 20KV die gemoduleerd worden (en daarbij dus radio golven genereren ).

Je moet hard zoeken naar echte glazen beeldbuis monitoren, tegenwoordig.

De stroom en spanning van een signaal in de monitor kabel zijn heel erg veel kleiner - en een radio signaal ervan is dus veel zwakker.
Ik ken geen artikelen die van Eck stijl phreaking beschrijven voor digitale (dvi/hdmi ) lcd/tft schermen .
24-06-2016, 17:31 door Anoniem
Dit is hetzelfde als met het flikkerende beeldscherm.
24-06-2016, 17:39 door SPlid
Wat iedereen er ook van vind het is wel een "coole" methode om data te versturen. Next step, meten van stroomverbruik en via software het vermogen wat een computer verbruikt moduleren en hiermee data versturen ;-)
24-06-2016, 20:16 door Anoniem
Door SPlid: Wat iedereen er ook van vind het is wel een "coole" methode om data te versturen. Next step, meten van stroomverbruik en via software het vermogen wat een computer verbruikt moduleren en hiermee data versturen ;-)

Dat is niet de next step, maar tien stappen eerder.
Printen met een laserprinter (aan/uit van de laser) geeft ook meetbaar EM/RF signaal wat de geprinte pagina's verderop (buiten de afgesloten kamer met de top secret documents printer) reconstrueerbaar maakt.

Andere smaken printers waarschijnlijk ook.

De betere tempest setups krijgen stroom van een in-room generator aangedreven door een motor - aka een zwaar mechanisch filter .
24-06-2016, 22:47 door [Account Verwijderd]
[Verwijderd]
25-06-2016, 00:13 door Anoniem
Ik zie het helemaal voor me. De bitjes waaien door de ventilator zo van de harde schijf je kamer in en waaien naar de steeldief toe. Tja, dat wordt dus de ventilator afschakelen en passieve koeling toepassen. Pleurt PC in oliebak.
25-06-2016, 05:09 door Anoniem
Ik verwacht dat pc fabrikanten hier op inspelen door alle ventilatoren te voeden met een externe adapter die gewoon een constant voltage levert. Dan is die malware kansloos.

Een aangepaste BIOS zou ook een oplossing kunnen zijn, dat je alles zelf vooraf op vaste waarden kunt instellen.
Eigenlijk is het al tamelijk absurd dat het mogelijk is dat malware met het toerental van ventilatoren in een pc kan gaan rommelen.
25-06-2016, 08:57 door [Account Verwijderd] - Bijgewerkt: 25-06-2016, 08:58
[Verwijderd]
25-06-2016, 16:55 door Anoniem
Coreboot/Libreboot als BIOS vervanger gebruiken en flashen van BIOS hardwarematig disablen.
Vervolgens zorg je er voor dat je vanuit userland niet direct HW (zoals fans) mag aansturen.
M.a.w. dan dien je eerst een local priv escalation uit te voeren voor je deze aanval kunt uitvoeren.
25-06-2016, 18:07 door Anoniem
Mijn PC, een quadcore met mITX moederbord is passief gekoeld met een relatief grote koelblok. De processor wordt daardoor niet heet. Besturing is LINUX hopelijk heb ik geen last van dit soort Malware.
26-06-2016, 00:55 door Anoniem
Door Anoniem: Coreboot/Libreboot als BIOS vervanger gebruiken en flashen van BIOS hardwarematig disablen.
Vervolgens zorg je er voor dat je vanuit userland niet direct HW (zoals fans) mag aansturen.
M.a.w. dan dien je eerst een local priv escalation uit te voeren voor je deze aanval kunt uitvoeren.

Als een lage bitrate ook goed is , en de fanspeed wel temperatuur geregeld, geen probleem.
Ik kan vanuit userland afwisselend veeleisend CPU werk doen , of niet. De CPU wordt warm, en de fans gaan harder draaien - en weer rustig tijdens sleep().
Zeker ook niet uit te sluiten of andere componenten niet ook variabele audio laten horen (spoelen/transformatoren waar meer of minder stroom doorheen gaat, afhankelijk van de cpu belasting ) .

Het filteren van lage-bandbreedte side-channels is erg moeilijk.
26-06-2016, 09:19 door Anoniem
Door Anoniem:
Door Anoniem: Beetje flauw, aangezien de computer al van tevoren geinfecteerd zal moeten zijn.[...]

Ik zie het ook meer als het scoren van een research publicatie en presentatie slot op de een of andere conferentie dan een enorm probleem wat hier blootgelegd is.

Maar goed, met enige fantasie en wat aannames kun je wel een scenario maken waarin je een dergelijk sidechannel nodig hebt .
De lage bandbreedte (en one-way) maakt het eigenlijk alleen nuttig voor kleine maar bijzonder waardevolle data.
Per saldo encryptiesleutels dus .
Vergeet stemcomputers niet. Live kunnen volgen welke stem wordt uitgebracht is daar een ernstige tekortkoming.

Voor toepassingen waar dit kritisch is zijn fanless systemen óf systemen waar de ventilator niet wordt aangestuurd door software dus het devies. Fanless systemen zijn behoorlijk capabel tegenwoordig, voor veel toepassingen zijn ze meer dan krachtig genoeg. Qua CPU-capaciteit is een Raspberry Pi vermoedelijk al ruimschoots krachtig genoeg voor een stemcomputer (ik claim daarmee niet dat hij geschikt is in andere opzichten).
26-06-2016, 14:57 door Anoniem
Door Reinder: Toen ik een jaar of wat geleden hoorde dat een air gap overbrugt was via de pc-speaker dacht ik dat het niet gekker kon, maar het blijkt dus toch te kunnen. Het is fascinerend, intrigerend en een tikje beangstigend tegelijkertijd.
Deze is ook kunstig gevonden: https://www.security.nl/posting/437129/Malware+steelt+data+van+offline+computer+via+mobiele+telefoon
27-06-2016, 22:16 door Anoniem
Door Buran: Cam afgeplakt : check
Mic los : check
Vent los : check
Scherm los : check
Voeding eruit : check
toetsenbord eraf : check
HDD/SDD 2319746410827410 bits encrypted : check
312489740817 karakter radomized password : check
Loden kist erom heen : check

Wel lekker veilig zo.

Next.

Open source hardware moederboard + cpu: check
En dan moet je in staat zijn alle update's te kunnen analiseren en.of vertrouwen, en je browser.

Big fail, dit gaat iemand redden.

Als de NSA je wil hebben dan leg je toch het loodje.
Van de snowden leaks weten we veel, maar lang niet alles.
Want ze hebben niet alles naar buiten gebracht, dus wie weet wat de NSA nog meer allemaal kan.

Doe dan maar gewoon een live cd-tje als Tiny O.S. dan heb je volgens mij meer dan Tails, en al die anderen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.