Los investigadores revelaron hoy un nuevo ataque 'SATAn' que puede convertir un cable SATA en un transmisor de radio, lo que permite a un pirata informático filtrar datos de un sistema que no está conectado a una red y transmitirlos a un receptor a 1 metro de distancia, todo sin modificar físicamente. el cable SATA o el hardware. La técnica del software puede funcionar desde el espacio del usuario o a través de una máquina virtual (VM), y puede ver una breve demostración en el video incrustado a continuación.
La omnipresente conexión SATA se utiliza en miles de millones de dispositivos en todo el mundo para conectar discos duros y SSD dentro de una PC, lo que la convierte en el objetivo perfecto para los piratas informáticos que buscan un ataque sofisticado con una gran huella.
Algunos de los datos más sensibles del planeta se almacenan en sistemas aislados. Estos sistemas están completamente aislados de cualquier conexión con el mundo exterior, como una red o Internet, ni cuentan con ningún hardware capaz de comunicarse de forma inalámbrica, como Bluetooth o hardware inalámbrico Wi-Fi.Técnicas ultrasofisticadas para robar datos de a ellos. El investigador Mordechai Guri de la Universidad del Negev en Israel logró la hazaña al convertir un cable SATA estándar en un transmisor de radio, pero sin realizar ningún cambio físico en el hardware.
Al igual que con todas las interfaces de computadora, el bus SATA genera interferencia electromagnética durante el funcionamiento normal y, si se usa correctamente, esta interferencia puede manipularse y luego usarse para transmitir datos. En este caso, el investigador utilizó el cable SATA como antena inalámbrica que operaba en la banda de frecuencia de 6 GHz, transmitiendo un mensaje corto a la computadora portátil cercana. Este ataque se puede utilizar junto con keyloggers para robar contraseñas u otros datos confidenciales. Asimismo, los atacantes pueden utilizar otros mecanismos para robar datos importantes, como archivos e imágenes.
Naturalmente, el atacante primero tendría que instalar malware en la máquina objetivo, pero como hemos visto con Stuxnet y otros ataques, los dispositivos USB que contienen código malicioso pueden propagar malware dentro de los sistemas protegidos. De lo contrario, el atacante necesitaría acceso físico para instalar la carga útil del ataque.
Una vez instalado, el malware primero codifica los datos que se van a robar. Luego realiza ciertos tipos de acceso al sistema de archivos, como lecturas y escrituras, de manera controlada para generar una señal en el cable. Si bien las operaciones de lectura o escritura pueden crear efectivamente las señales correctas, el investigador señala que las operaciones de lectura generalmente no requieren permisos de nivel de sistema más altos y generan señales más fuertes (hasta 3 dB) que las operaciones de escritura. Los investigadores también notaron que las operaciones en segundo plano que conducen otro tráfico al dispositivo de almacenamiento generalmente están bien. Sin embargo, la actividad de conducción intensa puede interferir con las transmisiones, por lo que es mejor pausar o detener la transmisión cuando se produce una actividad de fondo intensa.
El atacante puede recibir la señal de un dispositivo cercano, pero el alcance es limitado. En este caso, el receptor debe estar dentro de 1 m del transmisor debido a las mayores tasas de error de bit asociadas con distancias más largas. El dispositivo receptor, en este caso una computadora portátil, utiliza un receptor de radio definido por software (SDR) para recibir la señal.
La filosofía detrás de este tipo de ataque no es nueva: los investigadores demostraron previamente que manipulan las frecuencias de reloj de una tarjeta gráfica AMD Radeon para crear un transmisor de radio que genera una señal que un atacante puede recibir a través de una pared a 50 pies de distancia, pero los hacks se vuelven cada vez más sofisticados a medida que los investigadores encuentran nuevas interfaces para explotar.
Hay varias formas de mitigar este tipo de ataques, pero no son infalibles. El documento sugiere que la primera línea de defensa es implementar políticas que impidan la penetración inicial, así como otras tácticas, como prohibir los receptores de radio de la instalación segura. Por supuesto, los espías también pueden usar su propio hardware de monitoreo para detectar si hay transmisiones maliciosas en curso, o instalar software en máquinas seguras que monitorean el uso anormal de archivos, como actividad extraña de lectura y escritura en archivos temporales. Sin embargo, estos son generalmente métodos de detección de bajo rendimiento porque las transmisiones y la actividad de conducción son fáciles de ocultar.
El método de protección más directo sería agregar blindaje electromagnético adicional al cable SATA oa la carcasa de la PC. Pero, de nuevo, tal vez la complejidad del ataque en sí mismo sea la mejor protección para nosotros, las personas normales. Construir el receptor es sorprendentemente simple, pero desarrollar el software requerido y las técnicas de codificación requerirían un alto nivel de sofisticación, lo que significa que estos tipos de ataques probablemente estén relegados a los estados nacionales que se dedican al espionaje, lo que significa que el usuario promedio no tiene nada de qué preocuparse. .
Deja una respuesta