Funklöcher: So bringt man die CPU dazu, ihre Geheimnisse preiszugeben

Datendiebstahl aus einem isolierten Netzwerk durch Manipulation des Spannungsschaltwandlers.

Der israelische Sicherheitsforscher Mordechai Guri der Ben-Gurion-Universität hat eine Studie über eine weitere Methode zum Exfiltrieren von Daten aus einem Air-Gap-Netzwerk veröffentlicht. Dieses Mal hat er einen Weg gefunden, Daten über Funkwellen der CPU, genauer gesagt von deren Stromversorgung, zu übertragen. Diese Methode der Datenexfiltration erfordert, dass der Angreifer nur wenige Meter von der CPU entfernt ist. Diese Tatsache erinnerte Guri an die strengen Regeln der sozialen Distanzierung während der COVID-19-Pandemie, woher auch der etwas seltsame Name der Methode, „COVID-Bit“, stammt.

Guri hat eine Vorliebe für bizarre Methoden der Datenexfiltration. Er untersucht regelmäßig die Sicherheit isolierter Computernetzwerke, wobei er deutlich werden lässt, dass es vollkommen sinnlos ist, sich beim Aufbau eines Sicherheitsmodells ausschließlich auf die Air-Gap-Methode zu verlassen. Die meisten der von Guri und seinen Kollegen entdeckten Methoden funktionieren nur unter bestimmten Bedingungen – nämlich dann, wenn es Angreifern gelungen ist, Spyware auf einem besonders geschützten Computer zu installieren, um gewisse Daten zu extrahieren. Letzteres muss diskret, ohne Internetverbindung und, wenn möglich, mit Hilfe von Computerausrüstung, die das Opfer bereits benutzt, geschehen.

 

Schaltwandler als Transmitter

Dieses Mal untersuchte Guri die Möglichkeit, das Funktionsprinzip der Spannungsumschaltung für das Exfiltrieren von Daten zu nutzen. Jedes Telefon- oder Laptop-Netzteil ist im Grunde genommen ein AC/DC-Konverter. Schaltnetzteile sind kompakter als lineare Netzteile, strahlen aber naturgemäß eine Menge Funkstörungen aus. Vor allem rufen sie Störungen bei Funkamateuren hervor, die auf Mittel- und Kurzwellen arbeiten, wo sich die parasitäre Strahlung solcher Netzteile besonders bemerkbar macht.

Ähnliche Spannungswandler sind in vielen Computern vorhanden, von denen einige für die Stromversorgung der CPU eingesetzt werden. Alle modernen CPUs nutzen ein System der dynamischen Spannungs- und Frequenzvariation. Ein solches System ermöglicht eine Reduzierung des Stromverbrauchs, wenn die CPU inaktiv ist: Man kann ihre Frequenz und Spannung reduzieren und dann wieder stark erhöhen, wenn eine neue Rechenaufgabe ansteht.

Da der Angreifer den Computer des Opfers im untersuchten Szenario bereits mit Malware kontrolliert, kann er die CPU-Last modifizieren – und damit auch ihre Frequenz und Spannung. Aber wie? Guri fand heraus, dass die parasitäre Strahlung eines Spannungswandlers seine Form ändert, wenn die Betriebsspannung verändert wird. Und die Spannung variiert in Abhängigkeit von der Last. Das heißt, indem man die CPU in einem bestimmten Intervall belastet, kann man ein Funksignal mit einer bestimmten Frequenz erzeugen.

Die Signalübertragungsfrequenz kann durch das abwechselndes Be- und Entladen der CPU in diesem bestimmten Intervall, und zwar tausende Male pro Sekunde, festgelegt werden. Die Art der CPU-Belastung (d. h., was die CPU berechnen soll) spielt dabei keine Rolle: Sie dient lediglich zur Erzeugung des Funksignals einer bestimmten Form. Die belastete CPU erfordert eine Änderung der Versorgungsspannung, der Spannungswandler erzeugt Funkstörungen, und die Leiterbahnen auf dem Motherboard dienen als Antenne. So sieht das daraus resultierende Funksignal aus:

Spektrale Darstellung eines von einem Computer ausgestrahlten Funksignals.<a href="https://arxiv.org/pdf/2212.03520.pdf" target="_blank">Quelle</a>.

Spektrale Darstellung eines von einem Computer ausgestrahlten Funksignals. Quelle.

 

Diese Abbildung zeigt das Spektrum eines Funksignals mit Frequenzen von 2 bis 6 kHz. Für die Datenübertragung wird das Frequenzumtastverfahren verwendet, wobei hier die Signalfrequenz in Abhängigkeit von den übertragenen Daten variiert. Aus diesem Grund sehen wir zwei „Linien“ mit unterschiedlichen Frequenzen. Die Farbe, die von grün bis rot variiert, zeigt die Leistung an, woraus wir schließen können, dass das Funksignal der CPU recht schwach ist, nur wenig stärker als die Interferenz, die unten auf dem Bild abgebildet ist. Achten Sie auf die Zeitleiste: Das Wort „SECRET“ wird etwa 10 Sekunden lang übertragen. Diese Methode des Datendiebstahls ist sehr langsam, aber für bestimmte Arten von sensiblen Informationen kann sie ausreichen. Falls erforderlich, kann die Übertragungsrate erhöht werden, indem mehrere CPU-Kernel gleichzeitig (aber unterschiedlich) belastet werden.

 

Empfangen von Geheimnissen per Telefon

Guri geht auch ausführlich auf das Problem des Empfangs ein. Ein Funksignal mit geringer Leistung kann in der Realität in einer Entfernung von höchstens 2 Metern von einem isolierten System empfangen werden.

COVID-Bit-Datendiebstahlszenario: Ein Angreifer bewegt sich in der Mindestentfernung vom Computer, ohne die Aufmerksamkeit auf sich zu ziehen. <a href="https://arxiv.org/pdf/2212.03520.pdf" target="_blank">Quelle</a>.

COVID-Bit-Datendiebstahlszenario: Ein Angreifer bewegt sich in der Mindestentfernung vom Computer, ohne die Aufmerksamkeit auf sich zu ziehen. Quelle.

 

Die Abbildung zeigt eines der möglichen Szenarien: Ein Angreifer besucht das Büro seines Zielobjekts und extrahiert geheime Informationen von einem infizierten Computer. Die Datenexfiltration kann auch von einem bestochenen Mitarbeiter der Zielorganisation durchgeführt werden. In beiden Fällen ist es eher unwahrscheinlich, dass die Angreifer in der Lage sind, sperrige Geräte bei sich zu tragen. In der Studie wird daher eine Methode für den Empfang von klassifizierten Informationen per Smartphone hervorgehoben.

Die meisten Smartphones sind nicht mit einem Mittelwellen-Empfänger ausgestattet, Abhilfe kann aber auch mit einem Audio-Chip geschafft werden. Ein Analog-Digital-Umsetzer im Smartphone kann Radiowellen mit einer Frequenz von bis zu 24 Kilohertz digitalisieren; dazu muss eine Antenne in die Headset-Buchse gesteckt werden. Das ist zwar nicht ideal, aber wie die Praxis zeigt, erfüllt es seinen Zweck.

Die daraus resultierende Technik der Datenexfiltration ist ziemlich effektiv (natürlich gemessen an den Maßstäben von Angriffen auf geschützte isolierte Systeme). Neben der oben gezeigten „langsamen“ Form des Datendiebstahls hat Guri auch schnellere Übertragungsmethoden getestet, bei denen einige Geschwindigkeiten von bis zu 1000 bps erreicht haben. Ausreichend, um eine IP-Adresse augenblicklich, einen Verschlüsselungsschlüssel in 4 Sekunden und kleine Dateien in Minuten zu übertragen.

Anti-Spionage

Die Studie listet mögliche Wege auf, um der hier dargestellten Exfiltrationsmethode entgegenzuwirken. Die einfachste ist die soziale Distanzierung – Außenstehende dürfen sich geschützten Computern nicht mehr als 2 Meter nähern. Es gibt aber auch eine etwas komplexere Möglichkeit: So kann man beispielsweise den Datentransfer unterbrechen, indem man die CPU mit eigenen Aufgaben belastet. Das verbraucht zwar Energie, verhindert Datenverluste aber zuverlässig. Interessanterweise macht das Blockieren der CPU auf einer bestimmten Frequenz trotz der Verringerung der Signalleistung die Datenübertragung nicht unmöglich. Die variierende CPU-Belastung erzeugt Störungen, die Spionen selbst bei gleichbleibender helfen können.

Noch sinnloser sind Versuche, verdeckte Funkübertragungen aufzuspüren. Sie sind dem normalen Betrieb von Computerhardware zu ähnlich. Guri zeigt, dass es für jede Möglichkeit, die Isolierung von Computern zu erhöhen, auch neue Wege gibt, Daten über Kanäle von Drittanbietern zu exfiltrieren. Zu viele Dinge auf Ihrem Computer verursachen Interferenzen und Hintergrundgeräusche, die dann manipuliert werden können. Es ist viel besser zu akzeptieren, dass Air-Gaps allein keine vollständige Sicherheit bieten. Sie neutralisieren das Risiko von Angriffen aus dem Internet, nicht aber andere Formen von Cyberattacken. Will heißen, dass ein wirksamer Schutz isolierter Systeme ohne Tools zur Erkennung und Entschärfung von Malware unmöglich ist. Oder besser gesagt, ohne ein umfassendes Sicherheitssystem, das alle Aspekte eines dezidierten sicheren Netzwerks abdeckt.

Tipps