En el Chaos Communication Congress del año pasado, el investigador y locutor amateur Jacek Lipkowski presentó los resultados de este experimento que implican la exfiltración de datos de una red aislada mediante la radiación electromagnética de fondo, generada por el equipo de red. La presentación de Lipkowski es quizá la más reciente, pero difícilmente la única: periódicamente se descubren nuevos métodos de exfiltración de información desde computadoras y redes localizadas más allá del aislamiento físico.
Cualquier cable puede funcionar como una antena, y los atacantes que se infiltren en la red aislada y ejecuten su código pueden, en teoría, usarlo como antena para transmitir datos al mundo exterior; solo tendrían que modular la radiación mediante software.
Lipkowski decidió poner a prueba la viabilidad de usar las redes ethernet convencionales para dicha transmisión de información.
He aquí una advertencia a bote pronto: el investigador principalmente usó un Raspberry Pi 4 modelo B en sus experimentos, pero dice estar convencido de que sus resultados pueden replicarse con otros dispositivos conectados a Ethernet, o al menos, usar código Morse para transmitir los datos. No es el método más eficiente, pero es fácil de adoptar; cualquier aficionado de radio puede recibir la señal con una radio y descifrar el mensaje escuchándolo, lo que convierte al código Morse en una gran alternativa para demostrar la vulnerabilidad en cuestión, que el autor ha nombrado Etherify.
Experimento 1: frecuencia de modulación
Los controladores modernos de Ethernet utilizan la interfaz estandarizada independiente del medio (MII por sus siglas en inglés). La MII permite la transmisión de datos en varias frecuencias dependiendo del ancho de banda: 2.5 MHz para 10 Mbit/s, 25 MHz para 100 Mbit/s, y 125 MHz para 1 Gbit/s. Al mismo tiempo, los dispositivos de la red permiten conmutar y corresponder a los cambios en la frecuencia.
Las frecuencia de transmisión, que genera diferentes radiaciones electromagnéticas provenientes del cable, son los “cambios de marchas” que pueden usarse para modular la señal. Un script sencillo —por ejemplo, usando una interferencia de 10 Mbit/s como 0 y una interferencia de 100 Mbit/s como 1— puede ordenarle a un controlador de red transmitir los datos con una velocidad u otra; en consecuencia, básicamente genera los puntos y rayas del código Morse, que un receptor de radio puede captar fácilmente hasta una distancia de 100 metros.
Experimento 2: Transferencia de datos
Cambiar la velocidad de transferencia de datos no es la única manera de modular una señal. Otro modo emplea variaciones en la radiación de fondo del equipo de red en funcionamiento; por ejemplo, el malware en una computadora aislada podría utilizar el programa estándar de conexión a la red para verificar la integridad de la conexión (pin-f) y cargar el canal con datos. Las interrupciones y reanudaciones de la transferencia se podrán escuchar hasta 30 metros de distancia.
Experimento 3: no se necesita un cable
El tercer experimento no estaba previsto, pero aun así los resultados eran de interés. Durante la primera prueba, Lipkowski olvidó conectar un cable al dispositivo de transmisión, pero todavía podía oír el cambio en la tasa de transmisión de datos del controlador a 50 metros de distancia. Eso significa que, generalmente, los datos se pueden transferir desde un equipo aislado siempre que tenga un controlador de red, sin importar si está conectado a una red. La mayoría de tarjetas madre modernas tienen un controlador de Ethernet.
Otros experimentos
El método Air-Fi de transmisión de datos generalmente puede replicarse en dispositivos de oficina (laptops, routers), pero su eficacia varía. Por ejemplo, los controladores de red para laptops que Lipkowski usó para probar y reproducir el experimento inicial establecieron una conexión algunos segundos después del cada cambio en la tasa de datos, lo que substancialmente ralentizó la transmisión de datos mediante el código Morse (aunque el investigador logro transmitir un mensaje sencillo). La distancia máxima respecto al equipo también depende en gran medida de modelos específicos. Lipkowski sigue experimentando en este campo.
Valor práctico
Contrario a la creencia popular, las redes aisladas físicamente se usan no sólo en laboratorios ultrasecretos e instalaciones de infraestructura crítica sino también en empresas comunes, que también utilizan a menudo dispositivos aislados como módulos de seguridad hardware (para administrar las llaves digitales, cifrar y descifrar firmas digitales y suplir otras necesidades criptográficas), o estaciones de trabajo dedicadas y puestas en aislamiento (como las autoridades locales de certificación, o CAs). Si tu empresa utiliza algo de este tipo, toma en cuenta la posibilidad de filtración de la información del sistema detrás de aislamiento físico.
Dicho esto, Lipkowski usó un receptor USB para hogar relativamente barato. Los hackers que cuenten con mejores recursos pueden probablemente permitirse equipo más preciso, lo que incrementa el rango de recepción.
En cuanto a las medidas de protección de tu empresa frente a filtraciones, debemos reiterar algunos consejos evidentes:
- Implementa la división por zonas y el control del perímetro. Cuanto más se acerque un atacante potencial a las salas que albergan las redes o los dispositivos aislados, mayor será la posibilidad de interceptar señales.
- Utiliza un recubrimiento de metal en toda sala que albergue equipo crítico, lo cual producirá una jaula de Faraday para protegerla.
- Coloca un revestimiento en los cables de red. Aunque en teoría no es una solución perfecta, el revestimiento de los cables debería reducir significativamente la zona en la que pueden captarse las oscilaciones electromagnéticas. Combinado con la división en zonas, esto podría proporcionar una protección suficiente.
- Instala soluciones para supervisar los procesos sospechosos en los sistemas aislados. Después de todo, los atacantes necesitan infectar una computadora antes de poder transmitir tus datos al exterior. Con la ayuda de un software dedicado, puedes garantizar que los sistemas críticos permanezcan libres de malware.