El internet significa problemas. Por esta razón, una de las maneras más radicales de securizar una computadora que almacena la información extremadamente valiosa o que controla un proceso crítico, es no conectarla nunca a Internet, o tal vez no conectarla a cualquier red, incluso si es local. Esto se conoce como aislamiento físico.
Si no hay conexión, no hay problema, ¿verdad? Desafortunadamente, eso no es totalmente cierto; existen modos astutos para filtrar los datos, incluso desde un dispositivo aislado físicamente. Un grupo de investigadores en la Universidad Ben-Gurion, en Israel, dirigido por Mordechai Guri, se especializa en dichos métodos de robo de datos. Explicamos sus hallazgos y si tienes (o tenemos) motivos de preocupación.
Cómo burlar un aislamiento físico
Los sistemas aislados físicamente son vulnerables, eso no es una noticia; los ataques a las cadenas de suministros y el soborno de actores internos es totalmente posible. El más sencillo de los ataques se vale de una unidad USB, por ejemplo: así es como empezó el legendario Stuxnet.
De acuerdo, la computadora se ve infectada; pero ¿cómo puede alguien filtrar los datos sin una conexión a internet?
Aquí es donde el ingenio se junta con la física. Una computadora puede estar aislada físicamente y no transmitir señales a través de redes, pero todavía genera calor, campos magnéticos y ruido. Es a través de esos canales no tan evidentes que alguien puede extraer la información.
Ultrasonido
Incluso una computadora sin altavoces o equipo de audio es capaz de hacer sonidos dentro de un rango de 20 Hz–24 KHz (si, por ejemplo, cambias la frecuencia de la fuente de alimentación). Además, incluso un dispositivo sin un micrófonos separado puede espiar, pues se puede manipular a las bocinas y los audífonos para que cumplan este rol. Una fracción significativa del rango mencionado anteriormente (18 KHz–24 KHz, para ser exactos) está fuera de los límites de la audición humana; una cualidad a la cual se le pude usar de varias maneras interesantes. En casa, por ejemplo, mediante ese rango se puede activar una bocina inteligente.
Y lo que es más importante en este caso, alguien puede infectar una computadora con malware que cifre la información objetivo y la transmita mediante ultrasonido. Por su parte, otro dispositivo infectado cercano puede recoger la señal (por ejemplo, un smartphone) y transmitirla al mundo exterior. Otros métodos que los investigadores han descubierto aprovechan los sonidos del ventilador y discos duros de las computadoras.
Electromagnetismo
No te olvides del clásico electromagnetismo. Una corriente eléctrica crea un campo electromagnético que puede captarse y convertirse nuevamente en una señal eléctrica. Si controlas la corriente, puedes controlar este campo. Con este conocimiento en mano, los atacantes pueden utilizar malware para enviar una secuencia de señales a la pantalla y transformar el cable del monitor en una suerte de antena. Al manipular el número y la frecuencia de los bytes enviados, pueden inducir emisiones de radio perceptibles por un receptor FM. Y eso, damas y caballeros, es el modus operandi detrás de AirHopper.
Otro método utiliza el malware GSMem para aprovechar las emisiones del bus de la memoria de la computadora. Al igual que con AirHopper, el malware envía cierto conjunto de ceros y unos a lo largo del bus, lo que provoca variaciones en su radiación electromagnética. Es posible codificar la información de estas variaciones y recogerlas mediante un teléfono móvil regular que funcione en la banda de frecuencia de GSM, UMTS o de LTE; incluso con un teléfono sin radio FM integrada.
El principio general está claro: casi cualquier componente de la computadora puede ser una antena. Otra investigación incluye métodos para la transmisión de datos mediante la radiación del bus de la USB, la interfaz GPIO y los cables de alimentación.
Magnetismo
Una función particular de los métodos basados en el magnetismo consiste en que en algunos casos se puede incluso trabajar en una jaula de Faraday, la cual bloquea la radiación electromagnética, por lo que de este modo se considera una protección muy confiable.
El uso de magnetismo para la filtración aprovecha la radiación magnética de alta frecuencia que los CPU generan y que traspasan la carcasa metálica. Esa radiación, por ejemplo, es básicamente la razón por la cual un compás funciona dentro de una jaula de Faraday. Los investigadores hallaron que, al manipular la carga en los núcleos de un procesador a través del software, podían controlar su radiación magnética. Simplemente tenían que colocar un dispositivo receptor cerca de la jaula; el equipo de Guri registró un radio de acción de 1.5 metros, o cerca de 5 pies. Para recibir la información, los investigadores utilizaron un sensor magnético conectado al puerto serial de una computadora aledaña.
Óptica
Todas las computadoras, incluso las que están aisladas físicamente, tienen luces LED, y al controlar el parpadeo, de nuevo mediante malware, un atacante puede extraer los secretos de un equipo aislado.
Estos datos se pueden capturar, por ejemplo, mediante el hackeo de una cámara de vigilancia en la habitación. Así es como funcionan LED-it-GO y xLED, por ejemplo. En cuanto al aIR-Jumper, bueno, las cámaras pueden funcionar como mecanismos tanto de infiltración como de filtración; son capaces de emitir y capturar radiación infrarroja, invisible para el ojo humano.
Termodinámica
Otro canal inesperado para la transmisión de datos de un sistema aislado es el calor. El aire dentro de una computadora es calentado por el CPU, la tarjeta de video, el disco duro y los varios dispositivos periféricos (sería más fácil enumerar las partes que no generan calor). Las computadoras también tienen sensores de temperatura incorporados para asegurarse de que nada se caliente demasiado.
Si el malware le instruye a una computadora aislada físicamente que altere la temperatura, una segunda máquina (en línea) puede registrar los cambios, convertirlos en información inteligible y enviarla. Para que las computadoras puedan comunicarse entre ellas mediante señales termales, deben estar bastante cercanas; separadas no más de 40 centímetros o cerca de 16 pulgadas. Un ejemplo que usa este método es BitWhisper.
Ondas sísmicas
La vibración es el último tipo de radiación para la transmisión de datos que los investigadores analizaron. El malware manipula otra vez la velocidad de los ventiladores de la computadora, pero en este caso, codifica la información objetivo en vibraciones, no sonidos. Una aplicación de acelerómetro en un smartphone, puesto en la misma superficie que la computadora, captura las ondas.
La desventaja de este método es la poca velocidad de transferencia de datos confiable: cerca de 0.5 bps. Por lo tanto, la transferencia de apenas unos kilobytes puede tomar un par de días. Sin embargo, si el atacante no tiene ninguna prisa, el método es perfectamente factible.
¿Es momento de preocuparse?
Primero, hay buenas noticias: los métodos de robo de datos que enumeramos arriba son muy complejos, así que es improbable que alguien los use para captar tus declaraciones financieras o la base de datos de clientes. Sin embargo, si los datos con los que trabajas son de potencial interés para las agencias de inteligencia extranjeras o para los espías industriales, al menos debes estar consciente del peligro.
Cómo mantenerse protegido
Una manera simple pero eficaz de prevenir el robo de información clasificada es prohibir todos los dispositivos ajenos, incluyendo cualquier clase de teléfonos móviles, en las instalaciones de la empresa. Si no puedes, o si deseas medidas de seguridad adicionales, considera lo siguiente:
- Separa las instalaciones que albergan computadoras aisladas físicamente y mantén una distancia entre los dispositivos (vaya, podría decirse, como el distanciamiento social para la tecnología);
- Blinda las instalaciones o coloca la computadora dentro de una jaula de Faraday (no obstante, consulta la sección anterior sobre magnetismo);
- Lleva a cabo tus propias mediciones de la radiación magnética de la computadora,
- y vigila las anomalías;
- Limita o prohíbe el uso de altavoces;
- Desactiva todo el equipo de audio de la computadora;
- Crea una interferencia de sonido en las instalaciones donde se encuentra la computadora aislada físicamente;
- Limita la funcionalidad infrarroja de las cámaras de vigilancia (lo cual, desafortunadamente, reduce su eficacia en la obscuridad);
- Reduce la visibilidad de las luces LED (coloca cinta encima, desconecta y desmonta);
- Desactiva los puertos USB en la computadora aislada físicamente para evitar una infección.
Además, los investigadores observaron que, en casi todos los casos, mientras mejor era la protección a nivel de software, mejor era el nivel del aislamiento. Es decir, asegúrate de instalar soluciones de seguridad confiable para detectar toda actividad maliciosa. Si un equipo aislado se utiliza para las tareas estándares (un escenario bastante común en el caso de las computadoras aisladas físicamente), entonces cambia el sistema de protección al modo de denegación predeterminada, lo cual bloquea automáticamente la ejecución de programas o procesos inesperados.