{"id":20830,"date":"2021-01-08T12:34:41","date_gmt":"2021-01-08T18:34:41","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=20830"},"modified":"2021-01-08T12:34:41","modified_gmt":"2021-01-08T18:34:41","slug":"rc3-etherify","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/rc3-etherify\/20830\/","title":{"rendered":"Transmisi\u00f3n a trav\u00e9s de Ethernet"},"content":{"rendered":"

En el Chaos Communication Congress del a\u00f1o pasado, el investigador y locutor amateur Jacek Lipkowski present\u00f3 los resultados de este experimento<\/a> que implican la exfiltraci\u00f3n de datos de una red aislada mediante la radiaci\u00f3n electromagn\u00e9tica de fondo, generada por el equipo de red. La presentaci\u00f3n de Lipkowski es quiz\u00e1 la m\u00e1s reciente, pero dif\u00edcilmente la \u00fanica: peri\u00f3dicamente se descubren nuevos m\u00e9todos de exfiltraci\u00f3n de informaci\u00f3n desde computadoras y redes localizadas m\u00e1s all\u00e1 del aislamiento f\u00edsico.<\/p>\n

Cualquier cable puede funcionar como una antena, y los atacantes que se infiltren en la red aislada y ejecuten su c\u00f3digo pueden, en teor\u00eda, usarlo como antena para transmitir datos al mundo exterior; solo tendr\u00edan que modular la radiaci\u00f3n mediante software<\/em>.<\/p>\n

Lipkowski decidi\u00f3 poner a prueba la viabilidad de usar las redes ethernet convencionales para dicha transmisi\u00f3n de informaci\u00f3n.<\/p>\n

He aqu\u00ed una advertencia a bote pronto: el investigador principalmente us\u00f3 un Raspberry Pi 4 modelo B en sus experimentos, pero dice estar convencido de que sus resultados pueden replicarse con otros dispositivos conectados a Ethernet, o al menos, usar c\u00f3digo Morse para transmitir los datos. No es el m\u00e9todo m\u00e1s eficiente, pero es f\u00e1cil de adoptar; cualquier aficionado de radio puede recibir la se\u00f1al con una radio y descifrar el mensaje escuch\u00e1ndolo, lo que convierte al c\u00f3digo Morse en una gran alternativa para demostrar la vulnerabilidad en cuesti\u00f3n, que el autor ha nombrado Etherify.<\/p>\n

Experimento 1: frecuencia de modulaci\u00f3n<\/h2>\n

Los controladores modernos de Ethernet utilizan la interfaz estandarizada independiente del medio (MII por sus siglas en ingl\u00e9s). La MII permite la transmisi\u00f3n de datos en varias frecuencias dependiendo del ancho de banda: 2.5 MHz para 10 Mbit\/s, 25 MHz para 100 Mbit\/s, y 125 MHz para 1 Gbit\/s. Al mismo tiempo, los dispositivos de la red permiten conmutar y corresponder a los cambios en la frecuencia.<\/p>\n

Las frecuencia de transmisi\u00f3n, que genera diferentes radiaciones electromagn\u00e9ticas provenientes del cable, son los \u201ccambios de marchas\u201d que pueden usarse para modular la se\u00f1al. Un script<\/em> sencillo \u2014por ejemplo, usando una interferencia de 10 Mbit\/s como 0 y una interferencia de 100 Mbit\/s como 1\u2014 puede ordenarle a un controlador de red transmitir los datos con una velocidad u otra; en consecuencia, b\u00e1sicamente genera los puntos y rayas del c\u00f3digo Morse, que un receptor de radio puede captar f\u00e1cilmente hasta una distancia de 100 metros.<\/p>\n

Experimento 2: Transferencia de datos<\/h2>\n

Cambiar la velocidad de transferencia de datos no es la \u00fanica manera de modular una se\u00f1al. Otro modo emplea variaciones en la radiaci\u00f3n de fondo del equipo de red en funcionamiento; por ejemplo, el malware<\/em> en una computadora aislada podr\u00eda utilizar el programa est\u00e1ndar de conexi\u00f3n a la red para verificar la integridad de la conexi\u00f3n (pin-f) y cargar el canal con datos. Las interrupciones y reanudaciones de la transferencia se podr\u00e1n escuchar hasta 30 metros de distancia.<\/p>\n

Experimento 3: no se necesita un cable<\/h2>\n

El tercer experimento no estaba previsto, pero aun as\u00ed los resultados eran de inter\u00e9s. Durante la primera prueba, Lipkowski olvid\u00f3 conectar un cable al dispositivo de transmisi\u00f3n, pero todav\u00eda pod\u00eda o\u00edr el cambio en la tasa de transmisi\u00f3n de datos del controlador a 50 metros de distancia. Eso significa que, generalmente, los datos se pueden transferir desde un equipo aislado siempre que tenga un controlador de red, sin importar si est\u00e1 conectado a una red. La mayor\u00eda de tarjetas madre modernas tienen un controlador de Ethernet.<\/p>\n

Otros experimentos<\/h2>\n

El m\u00e9todo Air-Fi de transmisi\u00f3n de datos generalmente puede replicarse en dispositivos de oficina (laptops<\/em>, routers<\/em>), pero su eficacia var\u00eda. Por ejemplo, los controladores de red para laptops<\/em> que Lipkowski us\u00f3 para probar y reproducir el experimento inicial establecieron una conexi\u00f3n algunos segundos despu\u00e9s del cada cambio en la tasa de datos, lo que substancialmente ralentiz\u00f3 la transmisi\u00f3n de datos mediante el c\u00f3digo Morse (aunque el investigador logro transmitir un mensaje sencillo). La distancia m\u00e1xima respecto al equipo tambi\u00e9n depende en gran medida de modelos espec\u00edficos. Lipkowski sigue experimentando en este campo.<\/p>\n

Valor pr\u00e1ctico<\/h2>\n

Contrario a la creencia popular, las redes aisladas f\u00edsicamente se usan no s\u00f3lo en laboratorios ultrasecretos e instalaciones de infraestructura cr\u00edtica sino tambi\u00e9n en empresas comunes, que tambi\u00e9n utilizan a menudo dispositivos aislados como m\u00f3dulos de seguridad hardware<\/em> (para administrar las llaves digitales, cifrar y descifrar firmas digitales y suplir otras necesidades criptogr\u00e1ficas), o estaciones de trabajo dedicadas y puestas en aislamiento (como las autoridades locales de certificaci\u00f3n, o CAs). Si tu empresa utiliza algo de este tipo, toma en cuenta la posibilidad de filtraci\u00f3n de la informaci\u00f3n del sistema detr\u00e1s de aislamiento f\u00edsico.<\/p>\n

Dicho esto, Lipkowski us\u00f3 un receptor USB para hogar relativamente barato. Los hackers<\/em> que cuenten con mejores recursos pueden probablemente permitirse equipo m\u00e1s preciso, lo que incrementa el rango de recepci\u00f3n.<\/p>\n

En cuanto a las medidas de protecci\u00f3n de tu empresa frente a filtraciones, debemos reiterar algunos consejos evidentes:<\/p>\n