Um geheime Informationen außerhalb der Reichweite von Angreifern zu speichern, platzieren Unternehmen diese auf Geräten, die nicht mit einem lokalen Netzwerk, geschweige denn dem Internet verbunden sind – sogenannte Air-Gapped-Computer. So sicher das auch klingen mag, einen solchen Rechner oder ein Netzwerksegment zu infizieren ist eigentlich gar nicht so schwierig (man erinnere sich an die Stuxnet-Geschichte). Viel schwieriger ist es, die gewonnenen Informationen zu extrahieren.
Hier kommen alle möglichen cleveren Methoden ins Spiel, und Mordechai Guri, ein Forscher an der Ben-Gurion-Universität des Negev, ist darauf spezialisiert, diese zu finden. Dr. Guri ist natürlich nicht der einzige, aber in den letzten Jahren war er an der Entdeckung von ein paar Dutzend solcher Methoden beteiligt.
Eine neue Studie beschreibt eine weitere Möglichkeit, Daten von einem isolierten Computer zu extrahieren, diesmal unter Verwendung der Wi-Fi-Technologie (daher der Name Air-Fi).
Wie Air-Fi funktioniert
Das Schöne an Air-Fi ist, dass es selbst dann funktioniert, wenn der angegriffene Computer nicht mit Wi-Fi ausgestattet ist. Stattdessen stützt es sich auf bereits auf dem Gerät platzierte Malware, die den DDR-SDRAM-Speicherbus nutzen kann, um elektromagnetische Strahlung mit einer Frequenz von 2,4 GHz zu erzeugen. Die Malware kann die erforderlichen Daten in Variationen dieser Strahlung verschlüsseln, und jedes Gerät mit einem Wi-Fi-Empfänger, einschließlich eines anderen kompromittierten Geräts, kann die erzeugten Signale auf- und abfangen. Dieses andere Gerät könnte ein normales Smartphone oder sogar eine intelligente Glühbirne sein.
Die Air-Fi-Methode ist aus Sicht der Cybersicherheit besonders unangenehm. Sie erfordert keine Administratorrechte auf dem isolierten Computer; ein normales Benutzerkonto kann die Aufgabe erledigen. Außerdem bietet die Verwendung einer virtuellen Maschine keinen Schutz; VMs haben Zugriff auf Speichermodule.
Geschwindigkeit und Reichweite der Datenübertragung
Die Forscher übertrugen Daten ohne merkliche Verzerrungen mit einer Reichweite von bis zu 2 bis 3 Metern (in einem Fall bis zu 8 Metern) und einer Geschwindigkeit von bis zu 100 Bit pro Sekunde, abhängig von der Hardware im infizierten Computer und dem Typ des Empfängers. Wie bei den meisten ähnlichen Methoden ist das nicht sehr schnell. Die Übertragung einer 20 MB großen Datei würde z. B. 466 Stunden dauern. Der Text von „Jingle Bells“ mit einer Größe von 1.300 Byte könnte dagegen in 90 Sekunden übertragen werden. Vor diesem Hintergrund erscheint das Stehlen eines Benutzernamens und eines Passworts mit dieser Technik durchaus realistisch.
Was kann man gegen Air-Fi unternehmen?
Die Verwendung von Air-Fi ist mit elektromagnetischen Emissionen verbunden. Sie können dieser Strategie mit den folgenden Maßnahmen begegnen:
- Erlauben Sie keine Wi-Fi-fähigen Geräte in der Nähe von abgeschirmten Systemen, egal aus welchem Grund;
- Überwachen Sie abgeschirmte Systeme auf verdächtige Vorgänge;
- Schirmen Sie den Computer mit einem Faradayschen Käfig ab;
- Verbieten Sie alle externen Geräte, einschließlich Tastentelefone, im Unternehmen.
Letzteres ist der radikalste Ansatz, aber auch der effektivste.
Wie alle ähnlichen Methoden ist Air-Fi zu langsam und schwierig, um von gewöhnlichen Cyberkriminellen für alltägliche Angriffe verwendet zu werden. Für Industriespione und staatliche Akteure könnte es jedoch aufgrund der Fähigkeit, ohne Administratorrechte zu arbeiten, von Interesse sein. Der vollständige Studienbericht (auf Englisch) liefert weitere Informationen über die Methode.