viernes, septiembre 02, 2016

DiskFiltration & USBee: Nuevas técnicas para exfiltrar datos de servidores desconectados #Tempest

El grupo de investigación de la Universidad de Ben-Gurion ha vuelto a publicar nuevos trabajos sobre como resolver la comunicación en entornos Air-Gapped, o lo que es lo mismo, cómo conseguir que salgan datos desde un computador desconectado de toda red, a un terminal que los recibe.

Figura 1: DiskFiltration & USBee

Ya en el pasado han publicado trabajos con tecnologías Tempest en los que sacaban datos de un servidor generando señales GSM, señales de calor o señales de Radio Frecuencia que podían ser escuchadas por un equipo receptor.

DiskFiltration: Exfiltrar datos con el sonido del Hard Drive

Ahora ha publicado un par de trabajos que merece la pena conocer. El primero de ellos es DiskFiltration [PDF], que basa la generación de la señal de comunicación en el ruido característico que genera cada disco duro al realizar operaciones de lectura, escritura o búsqueda. Siendo capaces de generar una señal auditiva concreta con un proceso de lectura o de búsqueda, sería posible generar un código binario que un equipo receptor escuchara.

Figura 2: DiskFiltration White Paper

En el trabajo los investigadores han usado la operación de Seek para generar su código binario, pero podría ser realizado con otras operaciones dependiendo de cada tipo de hardware que se utilice.

Figura 3: Uso de las ondas acústicas de la operación Seek para codificar mensajes

Una vez que se genera el código binario, el equipo receptor lo único que debe hacer es permanecer al escucha como hacían los antiguos técnicos de los teletipos, para conseguir decodificar la señal que se está emitiendo por medio del sonido.

Figura 4: Vídeo demostrativo del funcionamiento de DiskFiltration

En el vídeo se puede ver el proceso completo y los tiempos de transmisión que se consiguen con este mecanismo TEMPEST de evasión de controles de seguridad (como el aislamiento) para conseguir sacar datos del sistema.

USBee: Exfiltrar datos por ondas de Radio Frecuencia desde un USB

El segundo de los trabajos es USBee, que viene descrito en un paper en el que se explica como, por medio de accesos a un pendrive USB es posible, al igual que hicieron con la ejecución de programas en la CPU en un trabajo anterior, generar señales de Radio Frecuencia desde el dispositivo USB.

Figura 5: USBee WhitePaper

De nuevo, un equipo receptor escuchando el espectro RF sería capaz de poder decodificar qué tipos de señales contienen un mensaje exfiltrado desde el equipo desconectado des la red. En este vídeo se puede ver el proceso.

Figura 6: Vídeo demostrativo del funcionamiento de USBee

Dos estudios académicos más que muestran lo difícil que podría llegar a ser mantener totalmente aislado un servidor. Además, se pone de manifiesto la necesidad de pensarse seriamente en generar software y hardware menos "ruidoso" con todo tipo de señales para que reducir las posibilidades al usar este tipo de técnicas.

Saludos Malignos!

2 comentarios:

  1. A partir de ahora, montar discos SSD va a ser otra medida de seguridad...

    ResponderEliminar
  2. Ya no hace falta ni tocar la maquina, increible...

    Saludos! ;-)

    ResponderEliminar