Ethernet e transmissão de dados Wireless
É possível transmitir dados sem fio em uma rede com fio? Alguns experimentos mostram que sim.
No Chaos Communication Congress no final do ano passado, o pesquisador e radioamador Jacek Lipkowski apresentou os resultados de seus experimentos envolvendo a exfiltração de dados de uma rede isolada por meio da radiação eletromagnética de fundo gerada por equipamentos de rede. A apresentação de Lipkowski pode ser a mais recente, mas dificilmente é a única: novos métodos de exfiltração de informações de computadores e redes localizados fora do air gap são descobertos com uma regularidade perturbadora.
Qualquer cabo pode funcionar como uma antena, e os cibercriminosos que se infiltram em uma rede isolada e executam seu código poderiam, em teoria, usar essa antena para transmitir dados para o exterior – eles apenas teriam que modular a radiação por meio de um software.
Lipkowski decidiu testar a viabilidade do uso de redes Ethernet convencionais para essa transmissão de dados.
Uma advertência desde o início: o pesquisador usou principalmente o Raspberry Pi 4 modelo B em seus experimentos, mas ele diz estar confiante de que os resultados são reproduzíveis com outros dispositivos conectados à Ethernet – ou, pelo menos, incorporados. Ele usou o código Morse para transmitir os dados. Não é o método mais eficiente, mas é fácil de implementar; qualquer rádio amador pode receber o sinal com um rádio e decifrar a mensagem ouvindo-a, tornando o código Morse uma boa opção para demonstrar a vulnerabilidade em questão, que o autor apelidou de Etherify.
Experimento 1: modulação de frequência
Os controladores Ethernet atuais usam a interface independente de mídia padronizada (MII). O MII fornece transmissão de dados em várias frequências, dependendo da largura de banda: 2,5 MHz a 10 Mbit/s, 25 MHz a 100 Mbit/s e 125 MHz a 1 Gbit/s. Ao mesmo tempo, os dispositivos de rede permitem a comutação de largura de banda e as mudanças de frequência correspondentes.
As frequências de transmissão de dados, que geram diversas radiações eletromagnéticas diferentes do cabo, são as “chaves de engrenagem” que podem ser usadas para modulação de sinal. Um script simples – usando interferência de 10 Mbit/s como 0 e interferência de 100 Mbit/s como 1, digamos – pode instruir um controlador de rede a transmitir dados em uma velocidade ou outra, portanto, essencialmente, gerando os pontos e traços do Código Morse, que um receptor de rádio pode capturar facilmente a até 100 metros de distância.
Experimento 2: Transferência de dados
Mudar a velocidade de transferência de dados não é a única maneira de modular um sinal. Outra maneira emprega variações na radiação de fundo do equipamento de rede operacional, por exemplo, um malware em um computador isolado pode usar o utilitário de rede padrão para verificar a integridade da conexão (ping -f) para carregar os dados para o canal. As interrupções e retomadas da transferência serão audíveis a até 30 metros de distância.
Experimento 3: você não precisa de um cabo
O terceiro experimento não foi planejado, mas os resultados ainda eram interessantes. Durante o primeiro teste, Lipkowski se esqueceu de conectar um cabo ao dispositivo de transmissão, mas ainda conseguiu ouvir a mudança na taxa de transmissão de dados do controlador a cerca de 50 metros de distância. Isso significa que, em princípio, os dados podem ser transferidos de uma máquina isolada, desde que a máquina tenha um controlador de rede, independentemente de estar conectada a uma. A maioria das placas-mãe de hoje em dia possui um controlador Ethernet.
Outros experimentos
O método de transmissão de dados Air-Fi é geralmente reproduzível em dispositivos de escritório (laptops, roteadores), mas com eficácia variável. Por exemplo, os controladores de rede de laptop que Lipkowski usou para tentar reproduzir o experimento inicial estabeleceram uma conexão alguns segundos após cada alteração na taxa de dados, desacelerando substancialmente a transmissão de dados usando o código Morse (embora o pesquisador tenha conseguido transmitir uma mensagem simples). A distância máxima até o equipamento também depende muito de modelos específicos. Lipkowski continua a fazer experiências neste campo.
Utilidade prática
Ao contrário da crença popular, as redes isoladas atrás dos air gaps são usadas não apenas em laboratórios ultrassecretos e instalações de infraestrutura crítica, mas também em empresas comuns, que também costumam usar dispositivos isolados, como módulos de segurança de hardware (para gerenciamento de chaves digitais, criptografia e descriptografia digital assinaturas e outras necessidades criptográficas) ou estações de trabalho isoladas dedicadas (como autoridades de certificação locais ou CAs). Se sua empresa usa algo desse tipo, tenha em mente que há um potencial de vazamento de informações do sistema por trás do air gap.
Dito isso, Lipkowski usou um receptor doméstico USB razoavelmente barato. Hackers dotados de recursos significativos podem provavelmente pagar por equipamentos mais sensíveis, aumentando o alcance de recebimento.
No que diz respeito às medidas práticas para proteger sua empresa contra tais vazamentos, devemos repetir algumas dicas óbvias:
- Implementar zoneamento e controle de perímetro. Quanto mais perto um invasor em potencial puder chegar de salas contendo redes ou dispositivos isolados, maior será a probabilidade de ele interceptar sinais.
- Use metal para forrar qualquer sala em que o equipamento crítico esteja armazenado, criando uma gaiola de Faraday para protegê-la.
- Proteja os cabos de rede. Embora não seja uma solução perfeita em teoria, a blindagem dos cabos deve reduzir muito a zona na qual as mudanças nas oscilações eletromagnéticas podem ser recebidas. Combinado com o zoneamento, isso pode fornecer proteção suficiente.
- Instale soluções para monitoramento de processos suspeitos nos sistemas isolados. Afinal, os invasores precisam infectar um computador antes de transmitir seus dados externamente. Com a ajuda de um software dedicado, você pode garantir que os sistemas críticos permaneçam livres de malware.
Fonte: kaspersky