Un nuovo studio descrive un metodo per estrarre dati da un computer isolato utilizzando la tecnologia Wi-Fi (da cui il nome Air-Fi). Alcuni ricercatori israeliani hanno infatti scoperto che i computer non hanno necessariamente bisogno di un modulo Wi-Fi per trasmettere informazioni tramite questo canale.
Le informazioni delle aziende sono disposte su dispositivi non collegati a una rete locale (né tantomeno a Internet), affinché restino riservate e al di fuori della portata degli hacker: i cosiddetti “computer air gapped”. Per quanto sicuro possa sembrare, infettare un dispositivo del genere o un segmento di rete in realtà non è così difficile. Risulta più complicato estrarre le informazioni ottenute.
«Air-Fi: come funziona
La comodità di Air-Fi è che funziona anche se il computer obiettivo non dispone di apparecchiature Wi-Fi. Si basa invece su malware già installati sul dispositivo che possono utilizzare il bus di memoria DDR SDRAM per generare radiazioni elettromagnetiche alla frequenza di 2,4 GHz. Il malware è in grado di codificare i dati necessari come variazioni di questa radiazione e qualsiasi dispositivo dotato di un ricevitore Wi-Fi, compreso un altro dispositivo compromesso, è in grado di captare e intercettare i segnali generati. Quest’altro dispositivo potrebbe essere un normale smartphone o anche una lampadina intelligente.
Il metodo Air-Fi è particolarmente sgradevole dal punto di vista della sicurezza informatica. Non richiede diritti di amministratore sul computer isolato: un normale account utente può portare a termine il lavoro. Inoltre, l’utilizzo di una macchina virtuale non fornisce alcuna protezione, le macchine virtuali hanno accesso a moduli di memoria.
Velocità e portata di trasmissione dei dati
I ricercatori hanno trasmesso i dati senza distorsioni evidenti a una portata di 2-3 metri (in un caso specifico, fino a 8 metri) e a una velocità fino a 100 bit al secondo, a seconda dell’hardware del computer infetto e del tipo di ricevitore. Come per la maggior parte dei metodi analoghi, non è molto veloce. Il trasferimento di un file di 20 MB, ad esempio, richiederebbe 466 ore. Tuttavia, il testo di “Jingle Bells”, a 1.300 byte, potrebbe essere trasferito in 90 secondi. In questa prospettiva, rubare un nome utente e una password con questa tecnica sembra del tutto realistico.
Come combattere l’Air-Fi
L’utilizzo dell’Air-Fi comporta emissioni elettromagnetiche. È possibile contrastare questa tecnica utilizzando le seguenti misure:
- Non consentite per nessun motivo l’utilizzo di dispositivi abilitati alla connessione Wi-Fi in prossimità di sistemi isolati;
- Monitorare i sistemi isolati alla ricerca di processi sospetti;
- Proteggete il computer con una gabbia di Faraday;
- Vietate tutti i dispositivi esterni all’interno dell’azienda, compresi i vecchi telefoni di una volta.
Quest’ultimo è l’approccio più radicale, ma anche il più efficace.
Come tutti i metodi simili, l’Air-Fi è troppo lento e difficile da usare da parte dei comuni criminali informatici per gli attacchi di tutti i giorni. Può però interessare le spie industriali e i governi per la sua capacità di lavorare senza diritti di amministratore».
https://www.kaspersky.it/blog/air-fi-data-exfiltration/23681/