Cómo funciona Air-Fi

Air-Fi: Recibe datos desde un ordenador aislado

Unos investigadores israelíes han hallado que los ordenadores no necesitan necesariamente un módulo wifi para transmitir información.

Cómo funciona Air-Fi

Cómo funciona Air-Fi. El método, que ha sido bautizado como AIR-FI, comienza introduciendo un malware que modifica el funcionamiento de los buses SDRAM DDR para generar emisiones electromagnéticas en las bandas de 2,4 GHz utilizadas por las redes Wi-Fi, aprovechando que la velocidad de reloj de los módulos de memoria es típicamente de aproximadamente 2,4 GHz.

Cuando esta vía de ataque no es posible, podría modificarse el BIOS o la UEFI para generar emisiones compatibles haciendo un overclock/underclock a la memoria.

Estas señales son posteriormente recibidas a través de dispositivos compatibles con Wi-Fi a una velocidad relativamente baja, con un máximo de 100 bits por segundo. Una tasa extraordinariamente lenta, pero podría ser suficiente para obtener claves de acceso y contenidos de tamaño muy reducido si ya se sabe qué buscar.

Velocidad y rango de transmisión de datos

Como es de imaginar, este tipo de ataques requieren instalar el malware correspondiente directamente en la cadena de suministro y no presentan el menor de los riesgos para el usuario común, pero podían suponer un riesgo a tener en cuenta en entornos corporativos y gubernamentales donde se manejan datos de gran interés para empresas o estados rivales.

Para mantener la información secreta a salvo de los atacantes, las organizaciones la depositan en dispositivos que no están conectados a una red local, y mucho menos a Internet. Se trata de las computadoras air gap, es decir, aisladas físicamente.

Air-Fi: Generación de señales Wi-Fi encubiertas desde Computadoras aisladas

Mordejai Guri
Universidad Ben-Gurion del Negev, Centro de Investigación de Israel

En este artículo presentamos un nuevo tipo de canal encubierto que aprovecha el Wi-Fi para filtrar datos de redes. El ataque AIR-FI presentado en este documento no requiere hardware relacionado con Wi-Fi en las computadoras aisladas. En cambio, mostramos que un atacante puede explotar los buses DDR SDRAM para generar emisiones electromagnéticas en el Wi-Fi de 2.4 GHz.

También mostramos que los receptores de Wi-Fi cercanos, como teléfonos inteligentes, computadoras portátiles y dispositivos de Internet de las cosas (IoT), pueden recibir y decodificar los datos modulados y luego enviarlos al atacante a través de Internet.

El canal encubierto AIR-FI tiene las siguientes características:

No requiere transmisor Wi-Fi. El método no requiere ningún tipo de hardware de Wi-Fi en la computadora con espacio de aire. En su lugar, utiliza el hardware de memoria de la computadora (DDR SDRAM) para generar las señales.

• No requiere privilegios especiales. El código de transmisión no requiere privilegios especiales (por ejemplo, root), controladores del kernel o acceso a recursos de hardware. Además, se puede iniciar desde un proceso de espacio de usuario ordinario.

• Funciona en máquinas virtuales (VM). El canal encubierto funciona de manera efectiva, incluso desde dentro de una máquina virtual aislada.

• Tiene muchos receptores potenciales. Los entornos de TI modernos están equipados con muchos tipos de dispositivos con capacidad Wi-Fi: teléfonos inteligentes, computadoras portátiles, dispositivos IoT, sensores, sistemas integrados y relojes inteligentes y otros dispositivos portátiles. El atacante puede potencialmente piratear dicho equipo para recibir las transmisiones AIR-FI de computadoras aisladas.

El resto de este documento está organizado de la siguiente manera:

  • El trabajo relacionado se presenta en la Sección II.
  • El modelo de ataque se analiza en la Sección III. En la Sección se proporcionan antecedentes técnicos sobre DDR SDRAM y WiFi IV.
  • Las secciones V y VI, respectivamente, contienen detalles sobre la generación y modulación de señales y la transmisión y recepción de datos.
  • En la Sección VII presentamos los resultados de la evaluación y medición. En la Sección se analiza un conjunto de contramedidas VIII y concluimos en la Sección IX.

Filtración de datos

El atacante podría recopilar datos de las computadoras comprometidas. Los datos pueden ser documentos, registro de claves, credenciales, claves de cifrado, etc. Una vez que se recopilan los datos, el malware inicia el canal encubierto AIR-FI. Codifica los datos y los transmite al aire (en la banda Wi-Fi a 2,4 GHz) utilizando las emisiones electromagnéticas generadas por los buses DDR SDRAM. El ataque se ilustra en la Figura 1. Malware en la computadora con espacio de aire.

Bus de memoria DDR

Los datos se intercambian entre la CPU y la memoria a través de buses dedicados (Figura 2) . Los buses de memoria mantienen dos tipos de señales: (1) el bus de direcciones que transfiere direcciones y comandos, y (2) el bus de datos (bus DQ) que transfiere los datos reales.

como funciona Air-Fi

El bus de direcciones envía comandos e instrucciones desde el controlador a la SDRAM. El bus está sincronizado con las señales de reloj (CLK), y las señales en el bus de direcciones son muestreadas por las SDRAM en el borde ascendente de la señal CLK.

Los buses de memoria generan radiación electromagnética a una frecuencia correlacionada con su frecuencia de reloj y armónicos. Por ejemplo, DDR4-2400 emite radiación electromagnética a alrededor de 2400 MHz.

Overclocking / Underclocking

Los módulos de memoria proporcionan al BIOS / UEFI (Interfaz de firmware extensible unificada) un conjunto de frecuencias en las que puede operar. Esta información se define de acuerdo con la especificación JEDEC (Joint Electron Device Engineering Council) y se pasa durante el arranque a través de un mecanismo llamado Detección de presencia en serie (SPD).

Intel permite que los parámetros de tiempo estándar de la memoria instalada se cambien a través de una especificación llamada Extreme Memory Profile (XMP). Con XMP el usuario puede modificar los parámetros de la memoria como la frecuencia y la latencia CAS. El cambio de la frecuencia de funcionamiento de los módulos de memoria se conoce como overclocking (para aumentar la frecuencia) y underclocking / downclocking (para disminuir la frecuencia).

TRANSMISIÓN

En esta sección presentamos la técnica de generación de señales, la modulación de datos y el protocolo de transmisión de datos.

A. Emisión electromagnética

Hay dos tipos de emisiones electromagnéticas que emanan de los buses de memoria.

• Emisión persistente. Una emisión electromagnética generada continuamente por el controlador de memoria independientemente de la actividad en los buses de dirección / datos. Esta radiación abarca todo el espectro de la frecuencia DDR SDRAM cuando la computadora está encendida.

• Emisión activada. Una emisión electromagnética generada por las actividades electrónicas (flujo de corriente) en el bus de datos. Esta emisión está correlacionada con las operaciones de lectura / escritura de memoria ejecutadas por procesos que se ejecutan actualmente en el sistema.

B. Generación de señales

Basándonos en las observaciones anteriores, usamos dos técnicas para generar señales de Wi-Fi desde una computadora con espacio de aire.

• Operaciones de memoria. Transferimos datos en el bus de datos para generar una emisión electromagnética a la frecuencia de los módulos de memoria. Dado que la velocidad de reloj de los módulos de memoria suele rondar la frecuencia de 2,4 GHz o sus armónicos, las operaciones de memoria generan emisiones electromagnéticas en las bandas de frecuencia Wi-Fi IEEE 802.11b / g / n.

• Operaciones de memoria + reloj. Cuando la frecuencia operativa de los módulos de memoria no está cerca de la Frecuencia de 2,4 GHz o sus armónicos, inicialmente overclockeamos / reducimos la velocidad de la memoria a la frecuencia de las bandas de Wi-Fi o sus armónicos.

La operación de overlock / downclocking se puede realizar mediante programación o en el nivel de configuración de BIOS / UEFI. Después de los ajustes de frecuencia, realizamos los esquemas de operación de la memoria descritos anteriormente para generar emisiones en la banda de frecuencia Wi-Fi. Tenga en cuenta que se encontró malware que es capaz de reconfigurar BIOS / UEFI en la naturaleza [10] , [9] .

C. Interferencia de canal

La emisión generada por el bus de datos interfiere con los canales Wi-Fi. Las interferencias en el canal correspondiente se pueden medir en la capa PHY de la pila del protocolo 802.11. En este caso, las señales AIR-FI se generan a 2.44000 GHz. La señal está interfiriendo con los canales 5-8.

D. Modulación

El algoritmo muestra el proceso de modulación de la señal usando la técnica de operación de memoria usando modulación de codificación on-off (OOK). los modular RAM la función recibe la matriz de bits para transmitir ( bits ) y el tiempo de bits en milisegundos ( bitTimeMillis ).

Esta función itera sobre los bits y, de acuerdo con el bit actual, el algoritmo determina la operación a realizar durante un período de tiempo de bit. Si el bit es ‘1’ (línea 4), realiza una serie de operaciones de escritura en memoria que consisten en una copia secuencial de la memoria entre dos arreglos, cada uno del tamaño de 1 MB cada uno (líneas 6-7). Este bucle genera efectivamente la emisión del bus de datos. Si el bit es ‘0’, el algoritmo duerme durante un período de tiempo de bit, lo que detiene la emisión del bus RAM.

E. Paquetes

Los datos se transmiten en paquetes que constan de un preámbulo, una carga útil y un código de detección de errores.

• Preámbulo. El paquete comienza con un 0xAA valor hexadecimal. Esta secuencia de 10101010 en binario permite que el receptor se sincronice con el comienzo de cada paquete y determine la amplitud de la portadora y los umbrales uno / cero.

• Carga útil. La carga útil son los datos binarios sin procesar transmitidos dentro del paquete. Consta de 32 bits.

• Detección de errores. Para la detección de errores, utilizamos el algoritmo de detección de errores CRC-8 (una verificación de redundancia cíclica). El CRC se calcula sobre los datos de la carga útil y se agrega al final de cada paquete. En el lado del receptor, si el CRC recibido y el CRC calculado difieren, el paquete se omite.

Equipos utilizados en la evaluación y medición

En esta sección, presentamos el análisis y evaluación del canal encubierto AIR-FI. Describimos la configuración experimental y probamos los diferentes modos de recepción utilizados para mantener el canal encubierto. También evaluamos la eficacia del canal encubierto en entornos virtualizados.

Como funciona Air-Fi

A. Configuración experimental

1) Receptores: Usamos dos tipos de receptores para la recepción:

  • Un receptor de radio definido por software (SDR).
  • Un adaptador de red USB Wi-Fi.

La Tabla III contiene las especificaciones de los dispositivos receptores.

El ADALM-PLUTO SDR es capaz de muestrear la banda de frecuencia Wi-Fi y tiene una cobertura de RF de 325 MHz a 3.8 GHz. El adaptador de red inalámbrico USB Wi-Fi TL-WN722N está equipado con el chipset Atheros AR9271 que admite capacidades de escaneo espectral. Durante la evaluación, conectamos los receptores a una estación de trabajo Lenovo ThinkCentre M93p, con un sistema operativo Intel Core i7-4785T y Ubuntu 16.04.1 4.4.0.

2) Transmisores: Para la transmisión usamos los cuatro tipos de estaciones de trabajo listas para usar que se enumeran en la Tabla IV. WORKSTATION-1 y WORKSTATION-2 se instalaron con dos módulos DDR4 estándar de 2400 MHz. WORKSTATION-3 y WORKSTATION-4 fueron equipados con módulos DDR3 (2133 MHz y 1600 MHz, respectivamente). WORKSTATION-3 y WORKSTATION-4 se utilizaron para evaluar el escenario de ataque en el que la memoria es overclockeada maliciosamente para alcanzar la banda de frecuencia Wi-Fi.

Las siguientes subsecciones presentan los resultados obtenidos para las cuatro estaciones de trabajo. Durante los experimentos transmitimos secuencias de paquetes de tramas. Probamos tres modos de receptor: (1) el SDR, (2) el adaptador Wi-Fi funcionando en el modo de escaneo y (3) el adaptador Wi-Fi funcionando en el modo de activación. Medimos los valores de SNR utilizando el receptor SDR y los valores de BER se midieron utilizando el receptor SDR y Wi-Fi.

Cómo combatir el Air-Fi

El Air-Fi involucra el uso de emisiones electromagnéticas. Puedes contrarrestar esta estrategia con las siguientes medidas:

  • No permitas por ningún motivo que haya dispositivos conectados a wifi cerca de los sistemas aislados.
  • Vigila los sistemas aislados y busca procesos sospechosos.
  • Protege el ordenador mediante una jaula de Faraday.
  • Prohíbe dentro de la empresa el uso de dispositivos externos, incluidos los teléfonos más antiguos, como los de botones.

Esta última estrategia es la más radical, pero también la más eficaz.

Al igual que con otros métodos similares, el Air-Fi es para los ciberdelincuentes un método lento y difícil de usar para ataques cotidianos. Sin embargo, puede ser de interés para espías industriales y figuras de estado por su capacidad para funcionar sin derechos de administrador.

Para más información acerca de este método, te recomendamos que leas el informe completo (en inglés).

AIR-FI: Generating Covert Wi-Fi Signals from Air-Gapped Computers