Los académicos convierten las unidades de alimentación de PC en altavoces para filtrar secretos de sistemas con espacios de aire



Imagen: IgorShubin Académicos de una universidad israelí han publicado una nueva investigación la semana pasada que muestra cómo un atacante podría convertir la unidad de suministro de energía de una computadora en un altavoz rudimentario que puede transmitir secretamente datos de un host infectado utilizando ondas de audio. La técnica, denominada POWER-SUPPLaY, es obra de Mordechai Guri, jefe de I + D de la Universidad Ben-Gurion del Negev, en Israel. Durante la última media década, Guri ha sido pionera en la investigación de nuevos canales de exfiltración de datos encubiertos. Las técnicas que Guri ha desarrollado se pueden utilizar para robar datos a través de medios no convencionales. Guri ha estado desarrollando estas técnicas específicamente para extraer datos de sistemas con espacios de aire, computadoras aisladas en redes locales sin acceso a Internet. Dichas computadoras a menudo se utilizan en redes gubernamentales o corporativas para almacenar datos confidenciales, como archivos clasificados o propiedad intelectual.
Los sistemas con espacio de aire están protegidos por varias capas de defensas, además del "espacio de aire", y necesita nuevas técnicas de transmisión de datos para sortear estas defensas. Por ejemplo, algunos sistemas con espacios de aire no tienen altavoces, porque en el pasado se ha demostrado que se puede abusar de los altavoces para filtrar información de un sistema seguro utilizando ondas de sonido inaudibles. En un trabajo de investigación compartido con ZDNet ayer, Guri dijo que la técnica POWER-SUPPLaY fue desarrollada para este tipo de situaciones, donde los altavoces se han eliminado de los sistemas con espacios de aire.
Al usar malware especialmente diseñado, el investigador israelí dice que una unidad de fuente de alimentación (PSU) se puede transformar en un altavoz muy simple capaz de emitir las ondas de audio más básicas. [Guri solo ha desarrollado y estudiado la técnica de exfiltración de datos. El trabajo de Guri no se enfoca en plantar el malware en sistemas con espacio de aire o acercarse a un sistema con espacio de aire para robar datos.
Esto está fuera del alcance de su proyecto.] Guri dice que el truco detrás de la técnica de SUMINISTRO DE ENERGÍA es manipular la energía dentro de los condensadores de una fuente de alimentación para desencadenar un "fenómeno de condensador de canto". Este fenómeno genera ondas acústicas cuando la corriente pasa a través de un condensador a varias frecuencias.
Al controlar las frecuencias de potencia, el código malicioso POWER-SUPPLaY también puede controlar las ondas de audio y, por lo tanto, ocultar datos dentro de él. Imagen: Mordecai Guri "Nuestra técnica funciona con varios tipos de sistemas: estaciones de trabajo y servidores de PC, así como sistemas integrados y dispositivos IoT que no tienen hardware de audio. "Los datos binarios pueden ser modulados y transmitidos a través de las señales acústicas.
Las señales acústicas pueden ser interceptadas por un receptor cercano (por ejemplo, un teléfono inteligente), que demodula y decodifica los datos y los envía al atacante a través de Internet. ", Agregó Guri.
La principal ventaja de la técnica POWER-SUPPLaY es que el malware no necesita privilegios especiales. "El código de transmisión puede iniciarse desde un proceso ordinario de espacio de usuario y es muy evasivo", dijo Guri. La desventaja es que el ataque no es extremadamente rápido, no puede transmitir datos a grandes distancias y está sujeto a ruido de fondo que puede afectar la calidad de la transmisión, lo que hace que la exfiltración en algunos escenarios sea casi imposible. Guri dijo que la distancia a la que funciona POWER-SUPPLaY generalmente depende de la marca PSU y de la tasa de bits y las bandas de frecuencia a las que se codifican los datos robados y luego se transmiten a través de señales acústicas. El académico israelí dijo que los experimentos han demostrado que las velocidades de exfiltración de POWER-SUPPLaY pueden variar entre 0-40 bits / seg a distancias cortas de hasta 1 metro o 0-10 bits / seg cuando los datos necesitan viajar por más de 2 metros. La distancia máxima de transmisión registrada en el experimento fue de 6 metros.
Guri dijo que el primer método puede usarse de manera confiable para transmitir datos binarios, registros de pulsaciones de teclas, archivos de texto, etc., mientras que las velocidades de bits más lentas podrían usarse para transferir una pequeña cantidad de datos, como textos cortos, claves de cifrado, contraseñas y pulsaciones de teclas. Básicamente, cuanto más cerca pueda un atacante colocar un teléfono inteligente para grabar los sonidos provenientes de la computadora infectada, mejor será la velocidad y reducirá las tasas de error de transmisión. Los detalles adicionales sobre la técnica y las posibles contramedidas están disponibles en un trabajo de investigación titulado "SUMINISTRO DE ENERGÍA: Fugas de datos de sistemas con espacio de aire al convertir los suministros de energía en altavoces.
". El equipo de Guri también ha trabajado anteriormente en otras técnicas de exfiltración de datos con espacio de aire, como: Categorizados en función de los canales de exfiltración, estos se ven así: Imagen: Mordecai Guri pags VER GALERÍA COMPLETA.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Una lista de conferencias de seguridad canceladas o pospuestas debido a preocupaciones de coronavirus

Resim
Getty Images / iStockphoto A medida que las conferencias tecnológicas y las ferias comerciales se cancelan, posponen o se vuelven virtuales de izquierda a derecha, muchos eventos de seguridad cibernética se enfrentan a un destino similar, todo debido a problemas de salud causados ​​por el nuevo coronavirus conocido como COVID-19. Los profesionales de la seguridad cibernética que no pudieron asistir a algunas de sus conferencias favoritas antes, principalmente debido a razones de tiempo, viaje o salud, pueden descubrir que algunos eventos ahora se transmiten y pueden ver sesiones desde la comodidad o su hogar o espacio de trabajo. La siguiente lista abarca una lista de los próximos eventos y su estado respectivo. Las conferencias que no figuran en la lista están programadas para continuar según lo planeado. La lista incluye solo cancelaciones, conferencias pospuestas o aquellos que anunciaron planes para transmitir su contenido. fuerte - 9 de marzo a 11 de marzo, Zurich - Estado ac...
Devamı

Las tasas de parches OEM de Android han mejorado, con Nokia y Google liderando la carga

Resim
Imagen: Dmitry Bayer Las actualizaciones de seguridad están llegando a los usuarios de Android de manera más rápida y confiable que en años anteriores. En una investigación publicada este mes, la firma alemana de ciberseguridad SRLabs dijo que la brecha del parche de Android se ha reducido de 44 días en 2018 a 38 días hoy. El término retraso de parche de Android, o brecha de parche, se refiere al tiempo desde que Google publica formalmente una actualización de seguridad en su sitio web, y hasta que un proveedor de teléfonos inteligentes (OEM o fabricantes de equipos originales) integra el parche en su firmware. SRLabs dice que recopiló información sobre retrasos en los parches utilizando su aplicación de escáner de seguridad SnoopSnitch instalada en más de 500,000 teléfonos inteligentes Android. Si bien la compañía informó que el retraso del parche se ha reducido en un 15% en los últimos dos años, la brecha del parche varió enormemente entre los proveedores de teléfonos inteligente...
Devamı