{"id":24248,"date":"2020-06-16T12:11:51","date_gmt":"2020-06-16T10:11:51","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=24248"},"modified":"2020-06-16T12:11:51","modified_gmt":"2020-06-16T10:11:51","slug":"jumping-over-air-gap","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/jumping-over-air-gap\/24248\/","title":{"rendered":"K\u00f6nnen Cyberkriminelle Air Gaps umgehen?"},"content":{"rendered":"

Das Internet wird oft mit \u00c4rger gleichgesetzt. Deshalb ist eine der radikalsten Methoden zur Sicherung eines Computers, der extrem wertvolle Informationen speichert oder einen kritischen Prozess kontrolliert, das Unterbinden einer Verbindung mit dem Internet oder einem Netzwerk. Eine solche physische Isolierung bezeichnet man als Air Gap (dt. Luftspalt)<\/em>.<\/p>\n

Keine Verbindung zum Internet bedeutet auch gleichzeitig keine Probleme, oder? Leider ist das so nicht ganz richtig. Denn es gibt einige ausgefallene M\u00f6glichkeiten, Daten auch von einem durch Air Gap gesch\u00fctztes Ger\u00e4t zu stehlen. Eine Gruppe von Forschern der israelischen Ben-Gurion-Universit\u00e4t unter der Leitung von Mordechai Guri ist auf solche Datendiebstahl-Methoden spezialisiert. Wir erkl\u00e4ren, welche Angriffsm\u00f6glichkeiten sie gefunden haben und ob Sie sich (und wir uns) Sorgen machen m\u00fcssen.<\/p>\n

Wie Air Gaps umgangen werden k\u00f6nnen<\/h2>\n

Dass durch Air Gap isolierte Systeme verwundbar sind, ist nichts Neues. Angriffe auf die Supply Chain und bestochene Insider sind nach wie vor durchaus m\u00f6glich. Die einfachsten Angriffe verwenden zum Beispiel ein infiziertes Flash-Laufwerk. So begann auch das legend\u00e4re Stuxnet<\/a>.<\/p>\n

Okay, der Computer wird also infiziert, aber wie kann jemand ohne eine Internetverbindung Daten stehlen?<\/p>\n

Hier trifft Erfindungsreichtum auf Physik. Ein Computer kann zwar physisch isoliert sein und keine Signale \u00fcber Netzwerke nach au\u00dfen \u00fcbertragen, aber er erzeugt dennoch W\u00e4rme, Magnetfelder und Signale. \u00dcber solche nicht offensichtlichen Kan\u00e4le kann jemand Informationen abzapfen.<\/p>\n

Ultraschall<\/h3>\n

Selbst ein Computer ohne Lautsprecher oder Audioger\u00e4te ist in der Lage, T\u00f6ne im Bereich von 20 Hz-24 KHz zu erzeugen (wenn man z. B. die Frequenz des Netzteils \u00e4ndert<\/a>). Dar\u00fcber hinaus kann auch ein Ger\u00e4t ohne Mikrofon als Spion dienen, da Lautsprecher oder Kopfh\u00f6rer manipuliert werden k\u00f6nnen<\/a>, um diese Funktion zu erf\u00fcllen. Ein betr\u00e4chtlicher Teil des oben genannten Frequenzbereichs (18 KHz-24 KHz, um genau zu sein) liegt au\u00dferhalb der Grenzen des menschlichen Geh\u00f6rs, eine Eigenschaft, die auf verschiedene interessante Weisen von Nutzen sein kann. Zu Hause zum Beispiel kann die Nutzung dieses Bereichs einen intelligenten Lautsprecher aktivieren<\/a>.<\/p>\n

Noch relevanter ist in diesem Fall, dass jemand einen Computer mit Malware infizieren kann, die die Zielinformationen verschl\u00fcsselt und per Ultraschall \u00fcbertr\u00e4gt. Diese wiederum werden von einem anderen infizierten Ger\u00e4t in der N\u00e4he (z. B. einem Smartphone) aufgefangen und nach au\u00dfen \u00fcbertragen. Andere Methoden, die Forscher entdeckt haben, nutzen die Ger\u00e4usche von Computerl\u00fcftern<\/a> und Festplatten<\/a> aus.<\/p>\n

Elektromagnetismus<\/strong><\/h3>\n

Vergessen Sie den guten alten Elektromagnetismus nicht. Ein elektrischer Strom erzeugt ein elektromagnetisches Feld, das aufgefangen und wieder in ein elektrisches Signal umgewandelt werden kann. Indem man den Strom kontrolliert, kann man auch dieses Feld steuern. Mit diesem Wissen bewaffnet, k\u00f6nnen Angreifer mit Hilfe von Malware eine Sequenz von Signalen an den Bildschirm senden und das Monitorkabel in eine Art Antenne verwandeln. Indem sie die Anzahl und die Frequenz der gesendeten Bytes manipulieren, k\u00f6nnen sie Funkemissionen induzieren, die von einem FM-Empf\u00e4nger erfasst werden k\u00f6nnen. Das, meine Damen und Herren, ist der Modus Operandi hinter AirHopper<\/a>.<\/p>\n

Eine andere Methode nutzt die GSMem-Malware, um Emissionen aus dem Speicherbus des Computers auszunutzen. \u00c4hnlich wie bei AirHopper sendet die Malware eine bestimmte Menge von Nullen und Einsen \u00fcber den Bus und verursacht dadurch Schwankungen in der elektromagnetischen Strahlung des Busses. Es ist m\u00f6glich, Informationen in diesen Variationen zu kodieren und sie mit einem normalen Mobiltelefon, das mit dem GSM-, UMTS- oder LTE-Frequenzband arbeitet, aufzunehmen und das sogar mit einem Telefon ohne eingebautes FM-Radio.<\/p>\n

Das allgemeine Prinzip ist klar: Fast jede Computerkomponente kann eine Antenne sein. Andere Forschungsarbeiten umfassen Methoden zur \u00dcbertragung von Daten unter Verwendung der Strahlung des USB-Busses<\/a>, der GPIO-Schnittstelle<\/a> und von Stromkabeln<\/a>.<\/p>\n

Magnetismus<\/strong><\/h3>\n

Eine Besonderheit der magnetbasierten Methoden ist, dass sie in einigen F\u00e4llen sogar in einem Faradayschen K\u00e4fig arbeiten k\u00f6nnen, der elektromagnetische Strahlung blockiert und somit als sehr zuverl\u00e4ssiger Schutz gilt.<\/p>\n

Die Verwendung von Magnetismus f\u00fcr den Datenklau<\/a> nutzt die hochfrequente magnetische Strahlung aus, die CPUs erzeugen und die durch Metallgeh\u00e4use sickert. Diese Strahlung ist zum Beispiel der Grund, warum ein Kompass im Inneren eines Faradayschen K\u00e4figs funktioniert. Die Forscher fanden heraus, dass sie durch Manipulation der Belastung der Prozessorkerne mittels Software die magnetische Strahlung eines Prozessors kontrollieren konnten. Sie mussten lediglich ein Empfangsger\u00e4t in der N\u00e4he des K\u00e4figs platzieren. Guris Team berichtete von einer Reichweite von 1,5 Metern. Um die Informationen zu empfangen, benutzten die Forscher einen Magnetsensor, der an den seriellen Port eines benachbarten Computers angeschlossen war.<\/p>\n

Optik<\/strong><\/h3>\n

Alle Computer, auch die durch Air Gap gesch\u00fctzten Computer, verf\u00fcgen \u00fcber LEDs. Auch durch die Steuerung des Aufblinkens der Leuchten durch Malware, kann ein Angreifer Geheimnisse aus einem isolierten Rechner ziehen.<\/p>\n

Diese Daten k\u00f6nnen z.B. durch das Hacken einer \u00dcberwachungskamera im Raum erfasst werden. So funktionieren zum Beispiel LED-it-GO<\/a> und xLED<\/a>. Was den aIR-Jumper<\/a> betrifft, so k\u00f6nnen Kameras sowohl als Infiltrations- als auch als Exfiltrationsmechanismus funktionieren. Sie k\u00f6nnen n\u00e4mlich die f\u00fcr das menschliche Auge unsichtbare Infrarotstrahlung sowohl ausstrahlen als auch einfangen.<\/p>\n

Thermodynamik<\/strong><\/h3>\n

Ein weiterer unerwarteter Kanal f\u00fcr die \u00dcbertragung von Daten aus einem isolierten System ist W\u00e4rme. Die Luft im Inneren eines Computers wird durch die CPU, die Grafikkarte, die Festplatte und zahlreiche Peripherieger\u00e4te erw\u00e4rmt (es w\u00e4re einfacher, die Teile aufzulisten, die keine<\/em> W\u00e4rme erzeugen). Computer haben auch eingebaute Temperatursensoren, um sicherzustellen, dass nichts \u00fcberhitzt.<\/p>\n

Wenn ein durch Air-Gap gesch\u00fctzter Computer von Malware zu Temperatur\u00e4nderungen gezwungen wird, kann eine zweites (Online-)Ger\u00e4t die \u00c4nderungen protokollieren, in verst\u00e4ndliche Informationen umwandeln und die Daten versenden. Damit Computer \u00fcber thermische Signale miteinander kommunizieren k\u00f6nnen, m\u00fcssen sie ziemlich nahe beieinanderstehen, also nicht mehr als 40 Zentimeter entfernt. Ein Beispiel f\u00fcr diese Methode ist BitWhisper<\/a>.<\/p>\n

Seismische Wellen<\/h3>\n

Vibration ist die letzte Art von daten\u00fcbertragender Strahlung, die die Forscher untersuchten. Malware kann auch hier die Geschwindigkeit der L\u00fcfter des Computers manipulieren, aber in diesem Fall kodiert sie die Zielinformationen in Schwingungen, nicht in Ger\u00e4usche. Eine Beschleunigungsmesser-App auf einem Smartphone, das auf der gleichen Oberfl\u00e4che wie der Computer liegt, f\u00e4ngt die Wellen ein.<\/p>\n

Der Nachteil dieser Methode ist die sehr geringe Geschwindigkeit des zuverl\u00e4ssigen Datentransfers \u2013 etwa 0,5 bps. Daher kann die \u00dcbertragung von nur wenigen Kilobyte einige Tage dauern. Wenn der Angreifer es jedoch nicht eilig hat, ist die Methode durchaus machbar.<\/p>\n

Sollte man sich Sorgen machen?<\/h2>\n

Zuerst einige gute Nachrichten: Die Datendiebstahl-Methoden, die wir oben aufgelistet haben, sind sehr komplex, sodass es unwahrscheinlich ist, dass jemand sie benutzt, um sich Ihrer Finanzen oder Kundendatenbank zu bem\u00e4chtigen. Wenn die Daten, mit denen Sie arbeiten, jedoch f\u00fcr ausl\u00e4ndische Geheimdienste oder Industriespione von potenziellem Interesse sind, sollten Sie sich zumindest der Gefahr bewusst sein.<\/p>\n

So bleiben Sie gesch\u00fctzt<\/h2>\n

Eine einfache, aber effektive M\u00f6glichkeit, den Diebstahl von hochsensiblen Daten zu verhindern, besteht darin, alle Fremdger\u00e4te, einschlie\u00dflich aller Arten von Mobiltelefonen, in Gesch\u00e4ftsr\u00e4umen zu verbieten. Wenn dies nicht m\u00f6glich ist oder wenn Sie zus\u00e4tzliche Sicherheitsma\u00dfnahmen w\u00fcnschen, sollten Sie Folgendes in Betracht ziehen:<\/p>\n