La exfiltración de datos a través de un altavoz de PC incorporado

El nuevo método para robar datos de un equipo aislado con sistema air gap a través de un altavoz que probablemente ni siquiera sepas que existe.

Unos investigadores de la Universidad de Corea en Seúl publicaron un artículo que detalla un nuevo método de robo de datos de un ordenador con la máxima protección; es decir, colocado en una habitación aislada utilizando el sistema air gap: sin conexión a Internet ni a ninguna red local. Este tipo de ataque puede servir como último recurso para un actor malicioso cuando no es factible ningún otro método más simple.

En este caso, la filtración de datos utiliza el altavoz del ordenador; no un dispositivo conectable, sino una reliquia de los primeros ordenadores personales: el altavoz interno, también conocido como “altavoz de PC”. Las placas base siguen incorporando uno por razones de compatibilidad, y resulta que dicho altavoz se puede usar para la exfiltración de datos.

Contexto

Ya hemos publicado historias sobre otros métodos de robo de datos: esta, por ejemplo, trata sobre las escuchas telefónicas de los smartphones mediante el uso de su acelerómetro incorporado y esta otra, sobre el robo de datos mediante la manipulación de la señal de radio de la fuente de alimentación de la CPU. La exfiltración de datos a través del altavoz de la placa base puede parecer poco sofisticada en comparación con estos dos otros métodos, pero no olvidemos que, cuanto más simple sea el ataque, mayor será la probabilidad de éxito. Además, el atacante no necesita ningún equipo especializado para obtener los datos: todo lo que tiene que hacer es acercar un smartphone al ordenador objetivo.

Cualquier investigación de este tipo comienza con una descripción de una situación de ataque hipotética. En este caso, es esta: un ordenador corporativo o de un gobierno que contiene información secreta. Para reforzar la seguridad, los datos están tan altamente clasificados que el ordenador está aislado de Internet y posiblemente incluso de la LAN; pero aún puede acabar infectado con spyware de una forma u otra. Sin embargo, descubrir exactamente cómo ocurrió esto no es el tema del artículo de los investigadores. Supongamos que el espía ha logrado introducir una memoria USB en la habitación protegida y conectarla al ordenador. O bien, el ordenador podría haberse infectado a través de un ataque a la cadena de suministro incluso antes de que se entregara a la organización.

Así recopila el programa espía los secretos, pero ahora el atacante necesita una forma de sacarlos de allí. En el escenario recreado por los investigadores coreanos, el espía accede físicamente a la habitación donde se encuentra el ordenador, trayendo consigo un smartphone con un software básico de grabación de sonido en ejecución. El spyware transmite los datos en forma de señales de audio a una frecuencia tan alta que la mayoría de los oídos humanos no pueden oírlos. El smartphone graba ese sonido, que luego es decodificado por los atacantes para restaurar los datos.

Cabe destacar que la investigación sobre la exfiltración de datos a través de altavoces ya se ha llevado a cabo antes. Este artículo israelí de investigación del 2018 demuestra la forma en la que dos ordenadores se comunican a través de ultrasonido utilizando altavoces y un micrófono incorporado. Sin embargo, este método de ataque teórico tiene un defecto: imagínate un ordenador que controla equipos valiosos. ¿Realmente la empresa lo equiparía con dispositivos de audio externos adicionales para la comodidad del operador? Por tanto, este ataque solo es factible si la información protegida se almacena en un ordenador portátil, ya que estos equipos suelen tener los altavoces de audio integrados.

Los desafíos de llevar a cabo un robo de ultrasonido

Los investigadores coreanos sugieren que su atacante usa el altavoz integrado del PC. En 1981, este era el único dispositivo de sonido en el primer IBM PC. Aunque en la mayoría de los casos el altavoz del PC solo producía ruidos chirriantes, algunos desarrolladores de videojuegos lograron usar sus capacidades para crear sonidos decentes. Los PC modernos rara vez usan el altavoz interno para otra cosa que no sean los diagnósticos; por ejemplo, si el ordenador no arranca, un técnico puede identificar los errores por el número y la duración de los tonos que emite el altavoz integrado. El altavoz original para PC de los años ochenta era una unidad aislada conectada a los conectores de la placa base. Las placas de circuito modernas suelen tener un pequeño altavoz incorporado.

Los investigadores coreanos necesitaban demostrar un canal de transferencia de datos fiable que utilizara el altavoz y, lo que es más importante, uno práctico. La parte de la transmisión resultó bastante simple: el “malware” que se ejecutaba en una máquina con Ubuntu Linux alternaba entre pitidos cortos de 18kHz y 19kHz, siendo el primero el “punto” y el segundo, el “guion”. Esto podría usarse para enviar información en código morse, que generalmente se usa para la comunicación por radio. Si grabas esta transmisión de sonido (inaudible para la mayoría de los humanos) en un smartphone, obtienes algo como esto:

Espectrograma de señales que transfieren datos a través del altavoz

Espectrograma de las señales del altavoz incorporado grabado desde un smartphone. Las líneas en la parte superior son “puntos” y “guiones” que componen los datos que se transmiten. Fuente.

El espectrograma muestra los sonidos utilizados para codificar la palabra “covert”. Se necesitaron aproximadamente cuatro segundos para transferir solo seis caracteres, por lo que el proceso de exfiltración es lento, pero aún se puede utilizar para ciertos tipos de información, como contraseñas y claves de cifrado. Las líneas a 18kHz y 19kHz son las señales producidas por el altavoz del ordenador. Su volumen es similar al ruido de fondo dentro de la habitación, que se puede ver en la parte inferior del espectrograma.

Los investigadores realizaron varios experimentos para llegar a las condiciones ideales para la transferencia de datos: la tasa de datos tenía que permanecer en 20 bits por segundo o menos para que los datos se recibieran correctamente desde una distancia de hasta 1 metro y medio. Reducir aún más la transmisión podría aumentar esa distancia en aproximadamente medio metro. Colocar el teléfono a centímetros de la unidad del sistema permitió duplicar la tasa de transferencia de datos. Eso sí, todo lo que no sea breves fragmentos de datos tardaría horas en transmitirse, lo que resta practicidad al ataque.

Un sistema air gap no garantiza seguridad

La transferencia de datos de ultrasonido es un método muy bien investigado que se usa a veces para fines de consumo; de hecho, en un entorno seguro, este canal lateral representa una amenaza. Los investigadores coreanos sugieren quitar el altavoz de la placa base como medida de seguridad contra este tipo de ataque. Sin embargo, como sabemos por otros estudios, cuando hay mucho en juego y el adversario se compromete a gastar tiempo y recursos para lograr su objetivo, es difícil protegerse contra todos los posibles trucos de exfiltración de datos. Si quitas el altavoz incorporado, sigue quedando la posibilidad de capturar ondas de radio de los cables SATA, la CPU o el monitor, aunque utilizando métodos mucho más sofisticados.

Es indispensable aislar al máximo cualquier ordenador que almacene datos secretos. Sin embargo, es mucho más práctico invertir en un sistema de detección de malware, recordando que cada situación de espionaje comienza con los atacantes instalando malware en el sistema objetivo. No obstante, el trabajo de los investigadores coreanos nos enseña nuevos canales encubiertos que pueden usarse para el robo de datos.

Consejos