Se ha desarrollado un nuevo método para robar datos de máquinas fuera de línea utilizando las ondas electromagnéticas emitidas por sus fuentes de alimentación.
Las llamadas PC con «brecha de aire», aquellas aisladas de la Internet pública, podrían sufrir el robo de datos a distancias de más de seis pies, e incluso a través de las paredes, por parte de alguien con un teléfono inteligente o una computadora portátil equipada con un receptor especial, advirtieron los expertos. .
El método fue desarrollado por Mordechai Guri, investigador de la Universidad Ben-Gurion en Beersheba, Israel, quien lo llamó COVID-bit, quizás en referencia a las reglas comunes de distanciamiento social que impiden que las personas estén muy cerca unas de otras.
Cerrar la brecha (de aire)
Los sistemas con espacio de aire se implementan más comúnmente en instituciones donde se manejan datos y tareas altamente confidenciales, como los relacionados con la energía, el gobierno y el armamento militar, lo que hace que este nuevo método sea una perspectiva preocupante.
En primer lugar, el sistema de destino debe tener cierto malware preinstalado, lo que solo se puede hacer a través del acceso físico a la máquina. Este malware controla la carga de la CPU y las frecuencias de sus núcleos para que la fuente de alimentación produzca ondas electromagnéticas entre 0 y 48 kHz.
Guri explicó que los componentes de conmutación dentro de estos sistemas crean una onda cuadrada de radiación electromagnética en frecuencias específicas, ya que se encienden y apagan durante la conversión CA/CC.
Esta onda puede transportar datos sin procesar, que pueden ser decodificados por quienes están lejos de la máquina con una antena que se puede conectar fácilmente al conector de audio de 3,5 mm de un dispositivo móvil. Luego, un programa en el dispositivo puede decodificar los datos sin procesar aplicando un filtro de ruido.
Guri probó su método en computadoras de escritorio, una computadora portátil y una Raspberry Pi 3, y descubrió que las computadoras portátiles eran las más difíciles de piratear, ya que sus credenciales de ahorro de energía significaban que no emitían una señal electromagnética lo suficientemente fuerte.
Los equipos de escritorio, por otro lado, podían transmitir 500 bits por segundo (bps) con una tasa de error de entre 0,01 % y 0,8 %, y 1000 bps con una tasa de error de hasta 1,78 %, lo que sigue siendo lo suficientemente preciso para una recolección de datos efectiva.
A esta velocidad, un archivo de 10 KB podría transmitirse en menos de 90 segundos, y los datos sin procesar correspondientes a una hora de actividad en la máquina de destino podrían enviarse en solo 20 segundos. Dicho registro de teclas también podría transmitirse en vivo en tiempo real.
Cuando se trataba del Pi 3, su fuente de alimentación débil significaba que las distancias del receptor eran limitadas para una transmisión de datos exitosa.
Guri recomienda que los sistemas con espacio de aire se mantengan seguros al monitorear las cargas y frecuencias de la CPU en busca de cualquier actividad sospechosa o inusual. Sin embargo, esto puede dar lugar a muchos falsos positivos, ya que dichos parámetros pueden variar ampliamente durante los escenarios de uso normal.
Además, dicho monitoreo aumenta el costo de procesamiento, lo que significa la posibilidad de un rendimiento reducido y un mayor uso de energía.
Una solución alternativa es bloquear la CPU a ciertas frecuencias centrales, para evitar que los datos sean decodificados por su radiación electromagnética asociada. Sin embargo, la desventaja aquí es que, como se mencionó anteriormente, se esperan fluctuaciones naturales de las frecuencias centrales, por lo que bloquearlas dará como resultado un rendimiento reducido en ciertos momentos y un uso excesivo en otros.