Können Cyberkriminelle Air Gaps umgehen?

Ohne Internetverbindung können auch keine Daten gestohlen werden, oder? Nicht ganz.

Das Internet wird oft mit Ärger gleichgesetzt. Deshalb ist eine der radikalsten Methoden zur Sicherung eines Computers, der extrem wertvolle Informationen speichert oder einen kritischen Prozess kontrolliert, das Unterbinden einer Verbindung mit dem Internet oder einem Netzwerk. Eine solche physische Isolierung bezeichnet man als Air Gap (dt. Luftspalt).

Keine Verbindung zum Internet bedeutet auch gleichzeitig keine Probleme, oder? Leider ist das so nicht ganz richtig. Denn es gibt einige ausgefallene Möglichkeiten, Daten auch von einem durch Air Gap geschütztes Gerät zu stehlen. Eine Gruppe von Forschern der israelischen Ben-Gurion-Universität unter der Leitung von Mordechai Guri ist auf solche Datendiebstahl-Methoden spezialisiert. Wir erklären, welche Angriffsmöglichkeiten sie gefunden haben und ob Sie sich (und wir uns) Sorgen machen müssen.

Wie Air Gaps umgangen werden können

Dass durch Air Gap isolierte Systeme verwundbar sind, ist nichts Neues. Angriffe auf die Supply Chain und bestochene Insider sind nach wie vor durchaus möglich. Die einfachsten Angriffe verwenden zum Beispiel ein infiziertes Flash-Laufwerk. So begann auch das legendäre Stuxnet.

Okay, der Computer wird also infiziert, aber wie kann jemand ohne eine Internetverbindung Daten stehlen?

Hier trifft Erfindungsreichtum auf Physik. Ein Computer kann zwar physisch isoliert sein und keine Signale über Netzwerke nach außen übertragen, aber er erzeugt dennoch Wärme, Magnetfelder und Signale. Über solche nicht offensichtlichen Kanäle kann jemand Informationen abzapfen.

Ultraschall

Selbst ein Computer ohne Lautsprecher oder Audiogeräte ist in der Lage, Töne im Bereich von 20 Hz-24 KHz zu erzeugen (wenn man z. B. die Frequenz des Netzteils ändert). Darüber hinaus kann auch ein Gerät ohne Mikrofon als Spion dienen, da Lautsprecher oder Kopfhörer manipuliert werden können, um diese Funktion zu erfüllen. Ein beträchtlicher Teil des oben genannten Frequenzbereichs (18 KHz-24 KHz, um genau zu sein) liegt außerhalb der Grenzen des menschlichen Gehörs, eine Eigenschaft, die auf verschiedene interessante Weisen von Nutzen sein kann. Zu Hause zum Beispiel kann die Nutzung dieses Bereichs einen intelligenten Lautsprecher aktivieren.

Noch relevanter ist in diesem Fall, dass jemand einen Computer mit Malware infizieren kann, die die Zielinformationen verschlüsselt und per Ultraschall überträgt. Diese wiederum werden von einem anderen infizierten Gerät in der Nähe (z. B. einem Smartphone) aufgefangen und nach außen übertragen. Andere Methoden, die Forscher entdeckt haben, nutzen die Geräusche von Computerlüftern und Festplatten aus.

Elektromagnetismus

Vergessen Sie den guten alten Elektromagnetismus nicht. Ein elektrischer Strom erzeugt ein elektromagnetisches Feld, das aufgefangen und wieder in ein elektrisches Signal umgewandelt werden kann. Indem man den Strom kontrolliert, kann man auch dieses Feld steuern. Mit diesem Wissen bewaffnet, können Angreifer mit Hilfe von Malware eine Sequenz von Signalen an den Bildschirm senden und das Monitorkabel in eine Art Antenne verwandeln. Indem sie die Anzahl und die Frequenz der gesendeten Bytes manipulieren, können sie Funkemissionen induzieren, die von einem FM-Empfänger erfasst werden können. Das, meine Damen und Herren, ist der Modus Operandi hinter AirHopper.

Eine andere Methode nutzt die GSMem-Malware, um Emissionen aus dem Speicherbus des Computers auszunutzen. Ähnlich wie bei AirHopper sendet die Malware eine bestimmte Menge von Nullen und Einsen über den Bus und verursacht dadurch Schwankungen in der elektromagnetischen Strahlung des Busses. Es ist möglich, Informationen in diesen Variationen zu kodieren und sie mit einem normalen Mobiltelefon, das mit dem GSM-, UMTS- oder LTE-Frequenzband arbeitet, aufzunehmen und das sogar mit einem Telefon ohne eingebautes FM-Radio.

Das allgemeine Prinzip ist klar: Fast jede Computerkomponente kann eine Antenne sein. Andere Forschungsarbeiten umfassen Methoden zur Übertragung von Daten unter Verwendung der Strahlung des USB-Busses, der GPIO-Schnittstelle und von Stromkabeln.

Magnetismus

Eine Besonderheit der magnetbasierten Methoden ist, dass sie in einigen Fällen sogar in einem Faradayschen Käfig arbeiten können, der elektromagnetische Strahlung blockiert und somit als sehr zuverlässiger Schutz gilt.

Die Verwendung von Magnetismus für den Datenklau nutzt die hochfrequente magnetische Strahlung aus, die CPUs erzeugen und die durch Metallgehäuse sickert. Diese Strahlung ist zum Beispiel der Grund, warum ein Kompass im Inneren eines Faradayschen Käfigs funktioniert. Die Forscher fanden heraus, dass sie durch Manipulation der Belastung der Prozessorkerne mittels Software die magnetische Strahlung eines Prozessors kontrollieren konnten. Sie mussten lediglich ein Empfangsgerät in der Nähe des Käfigs platzieren. Guris Team berichtete von einer Reichweite von 1,5 Metern. Um die Informationen zu empfangen, benutzten die Forscher einen Magnetsensor, der an den seriellen Port eines benachbarten Computers angeschlossen war.

Optik

Alle Computer, auch die durch Air Gap geschützten Computer, verfügen über LEDs. Auch durch die Steuerung des Aufblinkens der Leuchten durch Malware, kann ein Angreifer Geheimnisse aus einem isolierten Rechner ziehen.

Diese Daten können z.B. durch das Hacken einer Überwachungskamera im Raum erfasst werden. So funktionieren zum Beispiel LED-it-GO und xLED. Was den aIR-Jumper betrifft, so können Kameras sowohl als Infiltrations- als auch als Exfiltrationsmechanismus funktionieren. Sie können nämlich die für das menschliche Auge unsichtbare Infrarotstrahlung sowohl ausstrahlen als auch einfangen.

Thermodynamik

Ein weiterer unerwarteter Kanal für die Übertragung von Daten aus einem isolierten System ist Wärme. Die Luft im Inneren eines Computers wird durch die CPU, die Grafikkarte, die Festplatte und zahlreiche Peripheriegeräte erwärmt (es wäre einfacher, die Teile aufzulisten, die keine Wärme erzeugen). Computer haben auch eingebaute Temperatursensoren, um sicherzustellen, dass nichts überhitzt.

Wenn ein durch Air-Gap geschützter Computer von Malware zu Temperaturänderungen gezwungen wird, kann eine zweites (Online-)Gerät die Änderungen protokollieren, in verständliche Informationen umwandeln und die Daten versenden. Damit Computer über thermische Signale miteinander kommunizieren können, müssen sie ziemlich nahe beieinanderstehen, also nicht mehr als 40 Zentimeter entfernt. Ein Beispiel für diese Methode ist BitWhisper.

Seismische Wellen

Vibration ist die letzte Art von datenübertragender Strahlung, die die Forscher untersuchten. Malware kann auch hier die Geschwindigkeit der Lüfter des Computers manipulieren, aber in diesem Fall kodiert sie die Zielinformationen in Schwingungen, nicht in Geräusche. Eine Beschleunigungsmesser-App auf einem Smartphone, das auf der gleichen Oberfläche wie der Computer liegt, fängt die Wellen ein.

Der Nachteil dieser Methode ist die sehr geringe Geschwindigkeit des zuverlässigen Datentransfers – etwa 0,5 bps. Daher kann die Übertragung von nur wenigen Kilobyte einige Tage dauern. Wenn der Angreifer es jedoch nicht eilig hat, ist die Methode durchaus machbar.

Sollte man sich Sorgen machen?

Zuerst einige gute Nachrichten: Die Datendiebstahl-Methoden, die wir oben aufgelistet haben, sind sehr komplex, sodass es unwahrscheinlich ist, dass jemand sie benutzt, um sich Ihrer Finanzen oder Kundendatenbank zu bemächtigen. Wenn die Daten, mit denen Sie arbeiten, jedoch für ausländische Geheimdienste oder Industriespione von potenziellem Interesse sind, sollten Sie sich zumindest der Gefahr bewusst sein.

So bleiben Sie geschützt

Eine einfache, aber effektive Möglichkeit, den Diebstahl von hochsensiblen Daten zu verhindern, besteht darin, alle Fremdgeräte, einschließlich aller Arten von Mobiltelefonen, in Geschäftsräumen zu verbieten. Wenn dies nicht möglich ist oder wenn Sie zusätzliche Sicherheitsmaßnahmen wünschen, sollten Sie Folgendes in Betracht ziehen:

  • Sperren Sie den Zugang zu den Räumen, in denen sich durch Air Gap geschützte Rechner befinden und sorgen Sie dafür, dass keine Geräte in die Nähe der geschützten Rechner gelangen (quasi soziale Distanzierung für Elektronik).
  • Schirmen Sie die Räumlichkeiten ab oder stellen Sie den Computer in einen Faradayschen Käfig.
  • Führen Sie eigene Messungen der magnetischen Strahlung des Computers durch und achten Sie auf Anomalien.
  • Beschränken oder verbieten Sie die Verwendung von Audiogeräten.
  • Verwenden Sie Schallinterferenzen im gesicherten Air Gap Raum.
  • Beschränken Sie die Infrarotfunktionalität von Überwachungskameras (leider verringert das ihre Wirksamkeit im Dunkeln).
  • Verringern Sie die Sichtbarkeit der LEDs (abdecken, deaktivieren, demontieren).
  • Deaktivieren Sie alle USB-Anschlüsse am Air Gap Computer, um Infektionen zu vermeiden.

Darüber hinaus stellten die Forscher fest, dass in fast allen Fällen ein besserer Schutz auf der Software-Ebene den Grad der Isolation verbessert. Mit anderen Worten: Stellen Sie sicher, dass Sie eine zuverlässige Sicherheitslösung installieren, um bösartige Aktivitäten abzufangen. Wenn ein isolierter Rechner für Standardaufgaben verwendet wird (ein ziemlich häufiges Szenario bei Air Gap geschützten Computern), verwenden Sie den Default Deny Modus (dt. Standardverweigerung) der automatisch die Ausführung unerwarteter Programme oder Prozesse unterbindet.

Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.