Der LANtenna-Hack spioniert Ihre Daten von der anderen Seite des Raums aus aus! (Irgendwie)

Wenn Sie ein Naked Security Podcast-Hörer sind (und wenn nicht, probieren Sie ihn bitte aus und abonnieren Sie ihn, wenn er Ihnen gefällt!), erinnern Sie sich vielleicht an eine humorvolle Bemerkung über „Sideband“-Angriffe und hinterhältige Datenexfiltrationstricks eines Sophos-Experten Chester Wisniewski hat es in einer aktuellen Folge gemacht.

Wir haben darüber gesprochen, wie man Cyberkriminelle daran hindern kann, Kryptowährungs-Wallets zu stehlen, und mir ist aufgefallen, dass die geringe Größe der Wallet-Dateien es nicht nur einfacher macht, sie zu identifizieren, sondern sich auch schneller aus einem Netzwerk herauszuschleichen, sobald sie gefunden wurden.

Chesters Witz an dieser Stelle war:

Sobald Sie das sagten, dachte ich an die Forscher an der Ben-Gurion-Universität, die immer irgendeine Art von Seitenbandangriff durchführen … [zum Beispiel] variieren sie die Frequenz der Glühbirnen, um 11 Byte Daten aus dem Computer zu verlieren. Ich warte nur darauf, dass sie ein Bitcoin-Wallet preisgeben, indem sie Musik über die Lautsprecher abspielen oder so etwas in der Art!

Nun, Chesters Warten könnte ein Ende haben. (Zumindest theoretisch.)

Mordechai Guri von der oben erwähnten Ben-Gurion-Universität des Negev (BGU) in Israel hat kürzlich ein neues Papier zum Thema „Datenexfiltration“ veröffentlicht, in dem eine unerwartet effektive Möglichkeit beschrieben wird, sehr kleine Datenmengen aus einem kabelgebundenen Netzwerk zu schmuggeln, ohne eine offensichtliche Art der Verbindung zu verwenden .

Dieser trägt den TitelLANTENNA: Exfiltrieren von Daten aus Air-Gap-Netzwerken über Ethernet-Kabel, und es ist die neueste von vielen BGU-Veröffentlichungen der letzten Jahre, die sich mit einem heiklen Problem der Cybersicherheit befassen, nämlich…

…wie man ein Netzwerk in zwei Teile aufteilt, die auf unterschiedlichen Sicherheitsniveaus laufen, die dennoch zusammenarbeiten und bei Bedarf sogar Daten austauschen können, allerdings nur auf streng kontrollierte und gut überwachte Weise.

Die physische Trennung der beiden Netzwerke, sodass menschliches Eingreifen erforderlich ist, um Daten zwischen ihnen zu verschieben, scheint eine naheliegende Lösung zu sein und die sprichwörtliche „Luftlücke“ zu schaffen, die im Titel von Guris Artikel erwähnt wird.

Typischerweise bedeutet dies auch, dass „Free-Air“-Kommunikationsprotokolle wie Bluetooth und Wi-Fi zumindest auf der sichereren Seite des Netzwerks nicht zugelassen werden, sodass alle Verbindungspunkte tatsächlich eine Art physische Interaktion erfordern.

Sie können jedoch (möglicherweise eingeschränkte) drahtlose Technologien auf der weniger sicheren Seite des Netzwerks zulassen, solange auf der sicheren Seite keine Strahlungen von der unsicheren Seite empfangen werden können, weder versehentlich noch beabsichtigt Es gibt überhaupt keine erkennbaren Emanationen von der sicheren Seite, die von der unsicheren Seite aufgenommen werden könnten.

Früher galten physische Luftspalte wie das Einstecken eines Netzwerkkabels in eine spezielle Steckdose oder die Verwendung eines sorgfältig geprüften USB-Geräts in einem bestimmten USB-Anschluss als gute Lösung für dieses Problem, obwohl selbst USB-basierte Luftspalte manchmal durchbrochen werden können. Wie jeder weiß, der sich mit dem berüchtigten Stuxnet-Virus befasst hat.

Stuxnet wurde so programmiert, dass es ein bestimmtes industrielles Steuerungsgerät beschädigt, wenn es jemals auf einem Computer läuft, der richtig an das richtige Gerät angeschlossen ist.

Lange Zeit konnte niemand herausfinden, was die „richtige“ (oder falsche) Art von Ausrüstung war, da der Virus die Hardware nicht anhand des Namens identifizierte, sondern lediglich anhand einiger willkürlicher Merkmale, die übereinstimmen mussten.

Das Rätsel ähnelte ein wenig dem Versuch, eine einzelne Person auf der Erde nur anhand eines teilweisen Fingerabdrucks und ihres ungefähren Alters zu finden.

Schließlich wurde ein Gerät aufgespürt, das mit der Frage „Sieht es aus wie das, das wir wollen?“ übereinstimmte. Die Regel wurde in Stuxnet codiert, und es stellte sich heraus, dass es sich um eine Art Industriezentrifuge handelte (zur Trennung schwieriger Substanzen mit nahezu, aber nicht ganz identischen Eigenschaften, wie z. B. verschiedene Uranisotope), die bekanntermaßen im Iran verwendet wird.

Sie können den Rest der Stuxnet-Saga wahrscheinlich selbst ableiten, wenn Sie damit noch nicht vertraut sind.

Aber wie sieht es mit der Datenexfiltration über einen Airgap in einer Post-Stuxnet-Welt aus, in der die Betreiber von Airgap-Netzwerken die „Grenzkontrollen“ zwischen den beiden Seiten des Netzwerks viel strenger angehen?

Welche verdeckten Kanäle könnten genutzt werden, selbst wenn sie nur die bescheidensten Datenraten bieten?

Wie könnte man den Missbrauch dieser Kanäle erkennen und verhindern, wenn sie tatsächlich von korrupten Insidern ausgenutzt werden könnten (vielleicht mit der unschuldigen Hilfe unwissentlich kooptierter Kollegen), wenn die verwendeten Tricks abstrus genug wären, um keinen Verdacht zu erregen?

Frühere Untersuchungen der BGU haben vor Tricks zur Datenleckage bei geringer Bandbreite gewarnt, die mit so unterschiedlichen Techniken orchestriert werden können wie:

STEGANOGRAPHIE ERKLÄRT

Originalvideo hier: https://www.youtube.com/watch?v=q2hD4v8_8-sKlicken Sie auf das Zahnradsymbol, um die Wiedergabe zu beschleunigen oder Live-Untertitel anzuzeigen.

Bei LANtenna ist es ähnlich, dieses Mal missbraucht es jedoch das Grundelement jedes sogenannten sicheren Netzwerks: die LAN-Kabel selbst.

Da Wi-Fi aus dem einfachen Grund nicht auf der Speisekarte steht, weil Sie nicht sehen (oder einfach steuern) können, wohin es geht, weil es ein elektromagnetisches Übertragungsmedium ist, das einen unsichtbaren Teil des Funkspektrums nutzt, sind die meisten sicheren Netzwerke auf sichtbare Verbindungen angewiesen herkömmliche Netzwerkverkabelung und Switches.

In verkabelten Netzwerken, die meist sogenannte geschirmte Twisted-Pair-Kabel wie CAT5e, CAT6 und höhere Spezifikationen verwenden, kann ein verdächtiger Stecker physisch zu seiner Quelle oder seinem Ziel zurückverfolgt werden (vorausgesetzt natürlich, er wird bemerkt).

Dadurch, dass jeder Leiter im Kabel aus einem Paar Drähte besteht, die über die gesamte Länge umeinander verdrillt sind, werden elektromagnetische Streuungen und damit Interferenzen reduziert, eine Eigenschaft, die erstmals in den Anfängen der Telefonindustrie entdeckt und genutzt wurde. Eine zusätzliche Abschirmung um jedes Leiterpaar und um das gesamte Kabel herum sowie engere Verdrillungen mit mehr Drähten verbessern die Leistung und reduzieren Streuemissionen noch weiter.

Darüber hinaus kann jedes Gerät oder Segment eines kabelgebundenen Netzwerks schnell, zuverlässig und sichtbar getrennt werden, indem ein Kabelende abgezogen wird.

Aber wie abgeschirmt sind diese Twisted-Pair-Kabel eigentlich?

Was noch wichtiger ist: Wie groß, teuer und offensichtlich wäre die Ausrüstung, die Sie zur Erkennung benötigen, wenn die Abschirmung nicht perfekt ist?

Mit anderen Worten, wenn ein Mitarbeiter auf der sicheren Seite des Netzwerks dafür sorgen könnte, dass harmlos aussehende Daten mit einer verborgenen Bedeutung über das Netzwerk gesendet werden …

…wie heimlich und unumstritten könnten Sie (und Sie könnten natürlich Ihr eigener Mitarbeiter sein) die steganographisch kodierten Daten mit einem unschuldig aussehenden Gerät auf der unsicheren Seite abgreifen?

Wenn Sie eine zwei Meter lange Uda-Yagi-Antenne zum Auffangen der Streuemissionen und spezielle Erkennungshardware in einem Gehäuse von der Größe einer der Schallboxen von Spinal Tap benötigen würden, werden Sie damit wahrscheinlich nicht durchkommen.

Guri stellte fest, dass er mithilfe des LANtenna-Angriffs mithilfe zweier verschiedener Techniken verschlüsselte Daten aussenden konnte:

Guri entdeckte, dass er diese Streuemissionen aus einer Entfernung von bis zu drei Metern zuverlässig erkennen konnte, indem er handelsübliche „Software-Radio“-Hardware nutzte, die in Form von billigen USB-Dongles von bescheidener Größe erhältlich ist, die sich leicht verstecken oder als unschuldigere Dinge tarnen lassen. suchende Hardware-Geräte.

Die erste Technik war viel zuverlässiger und ermöglichte schnellere Exfiltrationsraten, erfordert jedoch im Allgemeinen Root-Zugriff (Systemadministrator) auf dem Computer, der zum Durchsickern der Daten verwendet wurde.

Das Umschalten der Geschwindigkeit wird wahrscheinlich auch von der Netzwerküberwachungshardware entdeckt und routinemäßig protokolliert, nicht zuletzt, weil Netzwerkkarten, die die Geschwindigkeit konstant wechseln, auf Hardwareprobleme hinweisen und aus Sicherheitsgründen verdächtig sind.

Dieser Trick wird in einer virtuellen Maschinenumgebung wahrscheinlich auch nicht funktionieren, da das Gastbetriebssystem im Allgemeinen mit einer virtuellen Netzwerkkarte arbeitet, die lediglich vorgibt, ihre Geschwindigkeit zu ändern, während die physische Interaktion mit dem Netzwerk selbst vom Host-Computer übernommen wird, der kombiniert den gesamten Datenverkehr der virtuellen Maschine und sendet ihn mit konstanter Geschwindigkeit.

Die zweite Methode war also einfacher auszunutzen, selbst auf virtuellen Computern …

…aber die Datenraten, die Guri erreichen konnte, waren gelinde gesagt bescheiden.

Wir sprechen von nur einem Bit pro Sekunde (das sind etwa 400 Bytes pro Stunde oder etwa ein Film pro Jahrtausend) bei Verwendung der Technik „unschuldiger Datenpakete“ mit einer zuverlässigen Reichweite von 2 m bei Verwendung eines PCs, dessen Emissionen stärker waren. oder nur 1 m mit einem Laptop.

Aber das reicht immer noch aus, um innerhalb eines einzigen Arbeitstages zahlreiche typische symmetrische kryptografische Schlüssel oder mehrere private Schlüssel für Kryptowährungen preiszugeben, sodass sich Chesters Bemerkung in S3 Ep46 des Podcasts möglicherweise doch bewahrheitet hat.

Guri hat mehrere Empfehlungen für Gegenmaßnahmen, von denen die offensichtlichsten und am einfachsten umzusetzenden sind:

Guri schlägt auch vor, dass Sie darüber nachdenken könntenSenden Sie Ihre eigenen Störsignale zur Gegenüberwachungin den Bandbreitenbereichen, die er mit seinen Software-Funk-Dongles überwachte (typischerweise 125 MHz und höher), undSenden von zufälligem UDP-HintergrundverkehrIhre eigenen Möglichkeiten, jeden zu verwirren, der die Signalisierungstechnik „unschuldiges Datenpaket“ verwendet.

Diese letzten beiden Gegenmaßnahmen sind natürlich spezifisch für den LANtenna-Angriff, wie er in dem Papier beschrieben wird, sodass eine Variation von Guris Thema sie möglicherweise umgehen könnte.

Fröhliches Jagen!

(Wenn Sie ein Blue Teamer im sicheren Bereich sind, ist das eine gute Ausrede für den Kauf einiger Software Defined Radio-Geräte!)

Folgen@NakedSecurity auf Twitterfür die neuesten Nachrichten zur Computersicherheit.

Folgen@NakedSecurity auf Instagramfür exklusive Bilder, Gifs, Videos und LOLs!