Auf dem Chaos Communication Congress Ende letzten Jahres präsentierte der Forscher und Funkamateur Jacek Lipkowski die Ergebnisse seiner Experimente zur Exfiltration von Daten aus einem isolierten Netzwerk mit Hilfe der elektromagnetischen Hintergrundstrahlung, die von Netzwerkgeräten erzeugt wird. Lipkowskis Präsentation mag die neueste sein, aber sie ist bei weitem nicht die einzige: Mit beunruhigender Regelmäßigkeit werden neue Methoden zum Exfiltrieren von Informationen aus Computern und Netzwerken aufgespürt, die sich außerhalb eines Air Gap befinden.
Jeder Draht kann als Antenne fungieren, und Angreifer, die ein isoliertes Netzwerk infiltrieren und ihren Code ausführen, könnten theoretisch eine solche Antenne nutzen, um Daten nach außen zu senden – sie müssten diese Strahlung nur mit Software modulieren.
Lipkowski beschloss, die Machbarkeit der Datenübertragung über herkömmliche Ethernet-Netzwerke zu testen
Ein kleiner Hinweis gleich vorweg: Der Forscher hat in seinen Experimenten hauptsächlich das Raspberry Pi 4 Modell B verwendet, aber er ist zuversichtlich, dass die Ergebnisse auch mit anderen Geräten mit Ethernet-Anschluss reproduzierbar sind – oder zumindest mit eingebetteten Geräten. Er verwendete Morsecode, um die Daten zu übertragen. Es ist nicht die effizienteste Methode, aber sie ist einfach zu implementieren. Jeder Funkamateur kann das Signal mit einem Funkgerät empfangen und die Nachricht entschlüsseln, indem er sie abhört, was Morsecode zu einer guten Option für die Demonstration der fraglichen Schwachstelle macht, welche der Autor Etherify nannte.
Versuch 1: Modulierung der Frequenz
Moderne Ethernet-Controller verwenden das standardisierte Media-independent Interface (MII). Das MII sieht je nach Bandbreite eine Datenübertragung mit unterschiedlichen Frequenzen vor: 2,5 MHz bei 10 Mbit/s, 25 MHz bei 100 Mbit/s und 125 MHz bei 1 Gbit/s. Gleichzeitig erlauben die Netzwerkgeräte eine Bandbreitenumschaltung und entsprechende Frequenzänderungen.
Datenübertragungsfrequenzen, die unterschiedliche elektromagnetische Abstrahlung der Leitung erzeugen, sind die „Schalthebel“, die zur Signalmodulation genutzt werden können. Ein einfaches Skript, das z. B. 10-Mbit/s-Störungen als 0 und 100-Mbit/s-Störungen als 1 verwendet, kann einen Netzwerk-Controller anweisen, Daten mit der einen oder anderen Geschwindigkeit zu übertragen und so im Wesentlichen die Punkte und Striche des Morsecodes zu erzeugen, die ein Funkempfänger aus bis zu 100 Metern Entfernung leicht erfassen kann.
Versuch 2: Die Übertragung von Daten
Das Umschalten der Datenübertragungsgeschwindigkeit ist nicht die einzige Möglichkeit, ein Signal zu modulieren. Ein anderer Weg nutzt Abweichungen in der Hintergrundstrahlung von laufenden Netzwerkgeräten. Beispielsweise könnte Malware auf einem isolierten Computer das Standard-Netzwerkprogramm zur Überprüfung der Verbindungsintegrität (ping -f) verwenden, um den Kanal mit Daten zu belasten. Übertragungsunterbrechungen und -wiederaufnahmen sind dann aus bis zu 30 Metern Entfernung hörbar.
Versuch 3: Sie benötigen keine Kabel
Das dritte Experiment war nicht geplant, aber die Ergebnisse waren trotzdem interessant. Beim ersten Test vergaß Lipkowski, ein Kabel an das sendende Gerät anzuschließen. Trotzdem konnte er die Veränderung der Datenübertragungsrate des Controllers aus etwa 50 Metern Entfernung hören. Das bedeutet, dass die Daten im Großen und Ganzen von einer isolierten Anlage übertragen werden können, solange die Anlage einen Netzwerk-Controller hat, unabhängig davon, ob sie mit einem Netzwerk verbunden ist. Die meisten modernen Motherboards haben einen Ethernet-Controller.
Weitere Versuche
Die Air-Fi-Methode der Datenübertragung ist im Allgemeinen auf Bürogeräten (Laptops, Router) reproduzierbar, jedoch mit unterschiedlicher Effektivität. Die Laptop-Netzwerk-Controller, die Lipkowski für den Versuch verwendete, das ursprüngliche Experiment zu reproduzieren, bauten beispielsweise einige Sekunden nach jeder Änderung der Datenrate eine Verbindung auf und verlangsamten die Übertragung von Daten mittels Morsecode erheblich (obwohl es dem Forscher gelang, eine einfache Nachricht zu übermitteln). Auch die maximale Entfernung zu den Geräten hängt stark von den jeweiligen Modellen ab. Lipkowski experimentiert weiter auf diesem Gebiet.
Praktischer Nutzen
Entgegen der landläufigen Meinung werden isolierte Netzwerke hinter Air Gaps nicht nur in streng geheimen Laboratorien und kritischen Infrastruktureinrichtungen verwendet, sondern auch in normalen Unternehmen, die ebenfalls häufig abgeschirmte Geräte wie Hardware-Sicherheitsmodule (für die Verwaltung digitaler Schlüssel, die Ver- und Entschlüsselung digitaler Signaturen und andere kryptografische Anforderungen) oder dedizierte, abgeschirmte Workstations (als lokale Zertifizierungsstellen, oder CAs) einsetzen. Sollte in Ihrem Unternehmen so etwas zum Einsatz kommen, bedenken Sie die Möglichkeit, dass Informationen aus dem System durch den Ait Gap nach außen dringen können.
Abgesehen davon hat Lipkowski einen relativ preiswerten USB-Heimempfänger verwendet. Hacker, die über beträchtliche Ressourcen verfügen, können sich wahrscheinlich empfindlichere Geräte leisten, die den Empfangsbereich vergrößern.
Was die praktischen Maßnahmen zum Schutz Ihres Unternehmens vor solchen undichten Stellen betrifft, können wir nur ein paar offensichtliche Tipps wiederholen:
- Implementieren Sie Zoning und Perimeter-Kontrolle. Je näher ein potenzieller Angreifer an Räume mit abgeschirmten Netzwerken oder Geräten herankommt, desto wahrscheinlicher ist es, dass er Signale abfangen kann.
- Verkleiden Sie jeden Raum, in dem kritische Geräte gelagert werden, mit Metall und schaffen Sie so einen Faradayschen Käfig, um sie zu schützen.
- Schirmen Sie Netzwerkkabel ab. Obwohl dies theoretisch keine perfekte Lösung ist, sollte die Abschirmung der Kabel den Bereich, in dem Änderungen der elektromagnetischen Schwingungen empfangen werden können, stark reduzieren. In Kombination mit Zoning kann dies einen ausreichenden Schutz bieten.
- Installieren Sie Lösungen zur Überwachung verdächtiger Prozesse in den isolierten Systemen. Schließlich müssen Angreifer erst einen Rechner infizieren, bevor sie dessen Daten nach außen tragen können. Mit Hilfe von spezieller Software können Sie sicherstellen, dass kritische Systeme frei von Schadsoftware bleiben.