Sfruttare i cavi SATA come antenna per rubare dati in modalità wireless

Un ricercatore di sicurezza ha trovato un nuovo modo di rubare dati da sistemi fisicamente disconnessi dalla rete, utilizzando i già esistenti cavi Serial ATA (SATA) presenti nella maggior parte dei computer come un’antenna wireless che invia i dati tramite segnali radio. Questo permette quindi il leakage di dati da sistemi che, in linea teorica, sono protetti da comunicazioni verso l’esterno.

I sistemi fisicamente isolati e/o disconnessi dalla rete (air-gapped) vengono utilizzati in ambienti critici che richiedono quindi di essere isolati fisicamente da reti meno sicure, come quelle connesse alla rete Internet pubblica. Sono in genere presenti nei programmi di sviluppo militare, governativo e nucleare, nonché nei sistemi di controllo industriale in settori critici (ad es. Petrolio, gas, finanziario, elettrico).

SATA

SATAn: l’attacco side-channel che sfrutta i cavi sata come antenne

Soprannominato “SATAn”, l’attacco è stato scoperto da Mordechai Guri, capo della ricerca e sviluppo dei laboratori di ricerca sulla sicurezza informatica presso l’Università Ben-Gurion in Israele, e potrebbe teoricamente permettere ad un avversario a rubare informazioni sensibili.

L’attacco parte infettando il sistema target (protetto con tecnica air-gap). Sebbene questo non sia un compito facile, ci sono segnalazioni di compromissione di sistemi come questi come Stuxnet. Il pezzo di malware installato ha come obiettivo quello di prendere di mira le informazioni sensibili e prepararle per l’esfiltrazione, modulandole e codificandole.

Una volta che i dati sono pronti, i cavi SATA vengono utilizzati come “antenna” per trasmettere i dati segreti. Il malware quindi utilizza l'”antenna” in questione per inviare i dati appena letti e codificati. Il ricercatore ha scoperto, infatti, che i cavi SATA utilizzati nei computer possono fornire un canale radio con frequenze tra 5,9995 e 5,9996 GHz.

L’interfaccia SATA può emettere segnali radio durante determinate operazioni di lettura e scrittura. Da qui si deduce come sa un attacco side-channel, che sfrutta effetto secondari che un sistema fisico produce nell’ambiente circostante semplicemente lavorando. Il malware utilizzato negli attacchi SATAn può quindi eseguire funzioni di lettura/scrittura molto specifiche che riflettono il contenuto dei dati rubati.

Durante la ricerca, Guri è stato in grado di generare segnali elettromagnetici per trasmettere la parola “SECRET” da un sistema completamente disconnesso dalla rete a un computer vicino. Il ricevitore deve essere in grado di identificare l’inizio di una trasmissione valida dai cavi SATA con protocollo SATA 3.

“In uno scenario di attacco reale, il ricevitore potrebbe essere implementato come processo nel computer vicino o incorporato in un ricevitore hardware dedicato”, spiega il ricercatore in un documento tecnico.

Ma qual è la distanza massima possibile tra i due sistemi per riuscire a comunicare? Attraverso varie prove con vari sistemi e impostazioni, il ricercatore ha determinato che la distanza massima tra il trasmettitore e il ricevitore non può essere maggiore di 120 cm, altrimenti il tasso di errore dei bit aumenta troppo che non è più possibile garantire l’integrità del messaggio.

La distanza tra il trasmettitore e il ricevitore influenza anche il tempo necessario per inviare i dati. A seconda della distanza, potrebbero essere necessari fino a 1.2 secondi a bit:

“Abbiamo trasmesso i dati con un bit rate di 1 bit/sec, che si è dimostrato essere il tempo minimo per generare un segnale sufficientemente forte per la modulazione”

Un’interessante contromisura proposta nel documento è quella di utilizzare un jammer SATA, che monitora le operazioni di lettura/scrittura sospette da applicazioni legittime e aggiunge rumore al segnale. Tuttavia, un utilizzo eccessivo del disco per generare il segnale di disturbo accelera l’usura dell’hardware e distinguere tra operazioni legittime e dannose sarebbe difficile in un ambiente di runtime.

Nel corso degli anni, Guri e il suo team hanno dimostrato che le reti isolate possono ancora consentire la fuoriuscita di informazioni sensibili tramite segnali (luce, vibrazioni, suono, calore, campi magnetici o elettromagnetici) generati da componenti presenti nei sistemi come monitor, altoparlanti, cavi, CPU , HDD, fotocamere, tastiere. Questi, rientrano nella caterogia già menzionata dei “side-channel attacks”.