Sebbene le reti air-gapped rappresentino da anni una delle principali misure di protezione per infrastrutture critiche, ambienti militari, enti governativi e impianti industriali e l’assenza di collegamenti con Internet riduca drasticamente le possibilità di sottrazione dei dati, il lavoro presentato dai ricercatori dell’Università di Shandong sulla tecnica di attacco TrojPix dimostra, ancora una volta, come un computer air-gapped (completamente isolato) possa diventare una sorgente di informazioni intercettabili sfruttando un elemento normalmente considerato innocuo ovvero il cavo video collegato al monitor[1].
Come funziona l’attacco TrojPix
La tecnica di attacco TrojPix sfrutta un fenomeno fisico normalmente presente durante il funzionamento dei cavi video digitali.
Ogni volta che il computer invia le immagini al monitor, sul cavo transitano milioni di segnali elettrici al secondo. Questi segnali generano inevitabilmente deboli emissioni elettromagnetiche come semplice effetto collaterale della trasmissione dei dati.
I ricercatori hanno dimostrato che un malware installato sul computer potrebbe modificare in modo estremamente preciso alcuni pixel dell’immagine, alterando soltanto il bit meno significativo del valore cromatico sulla componente del blu.
Queste variazioni sebbene impercettibili all’occhio umano risultano sufficienti a cambiare la sequenza dei segnali che percorrono il cavo. In questo modo, il malware potrebbe essere implementato in modo da controllare le emissioni elettromagnetiche prodotte dal cavo, codificando al loro interno informazioni che possono essere intercettate da un ricevitore radio posto anche a centinaia di metri di distanza.

Fonte: Rapporto Usenix.
Il cavo video si trasforma, così, in una sorta di antenna che trasmette dati all’esterno dell’ambiente protetto.
Un altro aspetto interessante del malware TrojPix è che non necessiterebbe di privilegi amministrativi né di modifiche hardware ma è sufficiente che venga eseguito con i normali permessi utente.
Gli autori hanno previsto due modalità operative. La prima simula uno schermo spento mentre il monitor continua a trasmettere dati. La seconda inserisce le informazioni direttamente nelle normali immagini visualizzate dall’utente senza produrre alterazioni percepibili.
Prestazioni nettamente superiori alle tecniche precedenti
Secondo i risultati ottenuti, TrojPix supererebbe i limiti di alcune precedenti tecniche di esfiltrazione elettromagnetica elaborate e legati soprattutto alla velocità di trasmissione, alla distanza operativa oppure alla scarsa discrezione visiva.
Nei test di laboratorio il sistema avrebbe infatti raggiunto una velocità massima di 8,1 megabit al secondo e una distanza di comunicazione di 208 metri, valori di gran lunga superiori rispetto alle precedenti ricerche sul tema.
La comunicazione rimarrebbe inoltre stabile anche attraverso pareti in calcestruzzo e con differenti modelli di monitor e cavi video commerciali.

Fonte: Rapporto Usenix.
TrojPix: una tecnica di attacco difficile da individuare
Uno degli elementi più preoccupanti è l’elevata invisibilità dell’attacco. Le modifiche introdotte nelle immagini risultano praticamente impossibili da distinguere anche confrontando direttamente il contenuto originale con quello alterato.
Per verificare questo aspetto gli autori hanno coinvolto cinquanta volontari.
Nessuno dei partecipanti è stato in grado di individuare differenze visive tra le immagini normali e quelle contenenti i dati nascosti e anche gli indicatori di qualità dell’immagine hanno confermato che le alterazioni sono praticamente impercettibili.

Fonte: Rapporto Usenix.
Le possibili contromisure all’attacco TrojPix
La ricerca evidenzia che la protezione delle reti air-gapped non può limitarsi all’isolamento fisico della rete e rimarcando quanto già noto da decenni dallo studio sulle emanazioni compromettenti (TEMPEST), sottolinea come anche le emissioni elettromagnetiche dei dispositivi debbano essere considerate un potenziale vettore di fuga delle informazioni.
Tra le contromisure proposte figurano un migliore isolamento elettromagnetico dei cavi, l’impiego di materiali schermanti, l’utilizzo di sistemi di disturbo radio nelle aree più sensibili e, soprattutto, l’adozione di interfacce video meno soggette a emissioni elettromagnetiche (fibra ottica).
I ricercatori suggeriscono inoltre modifiche ai protocolli di trasmissione video affinché rendano casuale la sequenza dei dati trasmessi, impedendo ai malware di controllare con precisione le emissioni e soprattutto di adottare tutte le misure e politiche di sicurezza preventive necessarie a impedire localmente l’installazione di malware sui computer, poiché senza un punto d’ingresso TrojPix non può agire.
Una minaccia che amplia il concetto di sicurezza fisica
TrojPix dimostra ancora una volta come anche componenti apparentemente innocui possano diventare strumenti di esfiltrazione delle informazioni quando vengono sfruttati da malware appositamente progettati.
La ricerca pur descrivendo un attacco non facilmente realizzabile mette comunque in evidenza un rischio concreto per quelle organizzazioni che gestiscono informazioni altamente sensibili.
Per gli ambienti governativi, militari e industriali deve essere chiaro che la sicurezza delle reti isolate deve ormai comprendere anche il controllo delle emissioni elettromagnetiche dei dispositivi hardware, perché perfino un semplice cavo video può trasformarsi in un canale di comunicazione invisibile capace di aggirare le tradizionali barriere di isolamento.
[1] Vale la pena notare che sfruttare vari canali fisici non intenzionali come suono, luce, campi magnetici e calore per stabilire comunicazioni nascoste non è una novità. Ecco una rassegna di articoli scritti sull’argomento per Cybersecurity360:
1. https://www.cybersecurity360.it/nuove-minacce/rubare-dati-da-pc-air-gapped-leggendo-la-luminosita-degli-schermi-ecco-come-funziona-lattacco/
2. https://www.cybersecurity360.it/news/smartattack-quando-gli-smartwatch-diventano-spie-ultrasoniche/
3. https://www.cybersecurity360.it/news/rambo-lattacco-air-gap-per-rubare-segreti-dai-pc-sfruttando-i-segnali-radio-della-ram/
4. https://www.cybersecurity360.it/news/covid-bit-lattacco-che-sfrutta-le-onde-radio-per-rubare-dati-da-sistemi-air-gapped/
5. https://www.cybersecurity360.it/nuove-minacce/etherled-rubare-dati-leggendo-i-led-della-scheda-di-rete-ecco-la-nuova-tecnica-di-attacco/
6. https://www.cybersecurity360.it/nuove-minacce/gairoscope-esfiltrare-dati-da-un-pc-usando-uno-smartphone-per-catturare-le-onde-sonore-i-dettagli/
7. https://www.cybersecurity360.it/nuove-minacce/satan-cosi-il-cavo-sata-si-trasforma-in-antenna-wi-fi-per-rubare-dati-riservati/
8. https://www.cybersecurity360.it/nuove-minacce/lasershark-scoperto-un-canale-segreto-bidirezionale-e-veloce-per-violare-sistemi-air-gapped/
9. https://www.cybersecurity360.it/nuove-minacce/lantenna-lattacco-per-esfiltrare-dati-usando-il-cavo-ethernet-come-antenna-di-trasmissione-i-dettagli/
10. https://www.cybersecurity360.it/nuove-minacce/attacco-air-fi-rubare-dati-da-pc-air-gapped-usando-segnali-wi-fi-segreti-i-dettagli/
11. https://www.cybersecurity360.it/nuove-minacce/rubare-dati-da-pc-air-gapped-ascoltando-il-rumore-degli-alimentatori-i-dettagli/
#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
Salvatore Lombardo
Source link



