Datenexfiltration – über einen integrierten PC-Lautsprecher

Eine Methode zum Datendiebstahl aus einem Air-Gap-System über einen Lautsprecher, von dem Sie vielleicht nicht einmal wissen, dass er existiert.

Forscher der Korea University in Seoul haben ein Paper veröffentlicht, das eine neue Methode des Datendiebstahls von einem maximal geschützten Computer beschreibt, der sich in einem isolierten Raum befindet und von einem Air Gap umgeben ist (d. h. er ist weder mit dem Internet noch mit einem lokalen Netzwerk verbunden). Diese Form des Angriffs kann einem böswilligen Akteur als letzter Ausweg dienen, wenn keine anderen, einfacheren Methoden in Frage kommen.

Für die Datenexfiltration wird in diesem Fall der Lautsprecher des Computers verwendet: kein Plug-in-Gerät, sondern ein Überbleibsel der ersten PCs – der interne Lautsprecher, auch als „PC-Lautsprecher“ bekannt. Motherboards verfügen aus Kompatibilitätsgründen in der Regel immer noch über einen solchen Lautsprecher, der für die Datenexfiltration verwendet werden kann.

Hintergrund

Wir haben bereits mehrere Beiträge über diverse Datendiebstahlsmethoden veröffentlicht. In diesem Artikel geht es beispielsweise um das Abhören von Smartphones mit Hilfe des dort eingebauten Beschleunigungsmessers. In diesem Beitrag wird beschrieben, wie Daten durch die Manipulation des Funksignals der CPU-Stromversorgung gestohlen werden. Die Datenexfiltration über den auf dem Motherboard montierten Lautsprecher mag im Vergleich zu diesen beiden Methoden recht simpel erscheinen, aber wir dürfen nicht vergessen, dass die Erfolgsaussichten bei einem einfachen Angriff umso größer sind. Zudem benötigen Angreifer keine spezielle Ausrüstung, um an wertvolle Daten zu gelangen: Es reicht aus, ein Smartphone in die Nähe des Zielcomputers zu bringen.

Sämtliche Studien dieser Art beginnen mit der Beschreibung eines hypothetischen Angriffsszenarios. In diesem Fall ist es dieses: Angenommen, es handelt sich um den Rechner einer Regierung oder eines Unternehmens, der geheime Informationen enthält. Diese Daten sind so streng geheim, dass der Computer aus Sicherheitsgründen vom Internet und möglicherweise sogar vom LAN isoliert ist; das Szenario setzt jedoch voraus, dass der Computer trotzdem auf die eine oder andere Weise mit Spyware infiziert wird. Wie das genau passiert, ist allerdings nicht Gegenstand der Forschungsarbeit. Nehmen wir an, ein Spion hat es geschafft, ein Flash-Laufwerk in den maximal gesichterten Raum zu bringen und es an den Computer anzuschließen. Oder aber der Computer wurde über einen Supply-Chain-Angriff infiziert, noch bevor er an das Unternehmen geliefert wurde.

Das Spionageprogramm hat so zwar alle Geheimnisse gesammelt, doch nun müssen die Angreifer einen Weg finden, sie erfolgreich zu entwenden. In dem von den koreanischen Forschern angewandten Szenario betritt der Spion physisch den Raum, in dem sich der Computer befindet, und führt ein Smartphone mit einer simplen Tonaufzeichnungssoftware mit sich. Die Spyware überträgt die Daten in Form von Audiosignalen mit einer so hohen Frequenz, dass sie für die Ohren der meisten Menschen nicht hörbar ist. Der Ton wird vom Smartphone aufgezeichnet und dann von den Angreifern entschlüsselt, um die Daten wiederherzustellen.

Wichtig ist, dass es schon früher Forschungen zur Datenexfiltration über Lautsprecher gegeben hat. In diesem Forschungsbericht aus Israel aus dem Jahr 2018 wird gezeigt, wie zwei Computer mithilfe von Lautsprechern und einem eingebauten Mikrofon über Ultraschall kommunizieren können. Diese hypothetische Angriffsmethode hat allerdings einen Haken: Stellen Sie sich vor, ein Computer steuert wertvolle Geräte. Würde ein Unternehmen ihn wirklich mit zusätzlichen externen Audiogeräten ausstatten, um dem Betreiber die Arbeit zu erleichtern? Dieser Angriff ist also nur möglich, wenn die geschützten Informationen auf einem Laptop gespeichert sind, da Laptops in der Regel über integrierte Lautsprecher verfügen.

Die Herausforderungen eines Angriffs via Ultraschall

Laut den koreanischen Forschern würden die Angreifer den eingebauten PC-Lautsprecher verwenden. Damals, 1981, war dies das einzige Audiogerät im ersten IBM-PC. Auch wenn der PC-Lautsprecher meist nur quietschende Geräusche von sich gab, gelang es einigen Entwicklern von Videospielen, seine primitiven Fähigkeiten zu nutzen, um anständige Soundtracks zu erstellen. Moderne PCs verwenden den internen Lautsprecher fast nur noch für Diagnosezwecke. Will der Computer einfach nicht hochfahren, kann ein Techniker die Fehler anhand der Anzahl und Dauer der Töne, die der eingebaute Lautsprecher abgibt, identifizieren. Der ursprüngliche PC-Lautsprecher aus den achtziger Jahren war eine separate Einheit, die an den Schnittstellen des Motherboards angebracht war. Auf modernen Platinen ist in der Regel ein winziger Lautsprecher aufgelötet.

Die koreanischen Forscher mussten einen zuverlässigen und vor allem praktischen Datenübertragungskanal aufzeigen, der den Lautsprecher nutzt. Der Teil der Übertragung war recht einfach: „Malware“, die auf einem Ubuntu-Linux-Rechner lief, wechselte zwischen kurzen 18-kHz- und 19-kHz-Pieptönen, wobei der erste den „Punkt“ und der zweite den „Querstrich“ darstellte. Auf diese Weise könnten Informationen im Morsecode übermittelt werden, der normalerweise für die Funkkommunikation verwendet wird. Wenn man diese Tonübertragung (die für die meisten Menschen unhörbar ist) auf einem Smartphone aufzeichnet, erhält man etwa folgendes Resultat:

Signal-Spektrogramm bei der Datenübertragung über den Lautsprecher

Signal-Spektrogramm über den integrierten Lautsprecher, aufgenommen mit einem Smartphone. Die oberen Linien sind „Punkte“ und „(Quer-)Striche“, aus denen sich die übertragenen Daten zusammensetzen. Quelle

Das Spektrogramm zeigt die Töne, die für die Verschlüsselung des Wortes „covert“ (geheim) verwendet wurden. Es dauerte etwa vier Sekunden, um nur sechs Zeichen zu übertragen. Der Prozess der Exfiltration ist also langsam, aber immer noch für bestimmte Arten von Informationen wie Passwörter und Verschlüsselungsschlüssel geeignet. Die Linien bei 18kHz und 19kHz sind die vom Computerlautsprecher erzeugten Signale. Ihre Lautstärke entspricht dem Hintergrundrauschen im Raum, das im unteren Teil des Spektrogramms dargestellt ist.

Die Forscher führten mehrere Experimente durch, um ideale Bedingungen für die Datenübertragung zu schaffen: Die Datenrate musste bei oder unter 20 Bit pro Sekunde bleiben, um Daten aus einer Entfernung von bis zu 1,5 Metern zuverlässig empfangen zu können. Eine weitere Verlangsamung der Übertragung könnte diese Entfernung um etwa einen halben Meter erhöhen. Eine Verdopplung der Datenübertragungsrate wurde erreicht, wenn das Handy nur wenige Zentimeter von der Systemeinheit platziert wurde. Alles andere als kurze Datenschnipsel würde mehrere Stunden für die Übertragung benötigen, was einen Angriff nahezu unmöglich macht.

Ein Air Gap garantiert kein sicheres System

Die Datenübermittlung per Ultraschall ist eine gut erforschte Methode, die manchmal für Verbraucherzwecke verwendet wird. In einer gesicherten Umgebung stellt dieser Seitenkanal eine Bedrohung dar. Die koreanischen Forscher schlagen vor, als Schutz gegen diese Art von Angriffen den Lautsprecher vom Motherboard zu entfernen. Aus anderen Studien wissen wir jedoch, dass es schwierig ist, sich gegen alle möglichen Tricks zur Datenexfiltration zu schützen, wenn es um viel Geld geht und der Angreifer sowohl Zeit als auch Ressourcen aufwenden will, um sein Ziel zu erreichen. Nach Entfernung des eingebauten Lautsprechers besteht immer noch die Möglichkeit, Funkwellen von SATA-Kabeln, der CPU oder dem Monitor abzufangen, wenngleich mit weitaus raffinierteren Methoden.

Eine maximale Isolierung eines jeden Computers, auf dem geheime Daten gespeichert sind, ist unerlässlich. Es ist jedoch viel praktischer, in ein Malware-Erkennungssystem zu investieren, da jedes Spionageszenario damit beginnt, dass Angreifer Malware auf dem Zielsystem installieren. Trotzdem lehrt uns die Studie der koreanischen Forscher über neue verdeckte Kanäle, die zum Datendiebstahl genutzt werden können.

Tipps