{"id":26040,"date":"2021-01-07T16:19:09","date_gmt":"2021-01-07T14:19:09","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=26040"},"modified":"2021-01-07T16:19:09","modified_gmt":"2021-01-07T14:19:09","slug":"air-fi-data-exfiltration","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/air-fi-data-exfiltration\/26040\/","title":{"rendered":"Air-Fi – der andere Weg, um Daten von einem abgeschirmten Computer zu stehlen"},"content":{"rendered":"

Um geheime Informationen au\u00dferhalb der Reichweite von Angreifern zu speichern, platzieren Unternehmen diese auf Ger\u00e4ten, die nicht mit einem lokalen Netzwerk, geschweige denn dem Internet verbunden sind \u2013 sogenannte Air-Gapped-Computer. So sicher das auch klingen mag, einen solchen Rechner oder ein Netzwerksegment zu infizieren ist eigentlich gar nicht so schwierig (man erinnere sich an die Stuxnet<\/a>-Geschichte). Viel schwieriger ist es, die gewonnenen Informationen zu extrahieren.<\/p>\n

Hier kommen alle m\u00f6glichen cleveren Methoden ins Spiel<\/a>, und Mordechai Guri, ein Forscher an der Ben-Gurion-Universit\u00e4t des Negev, ist darauf spezialisiert, diese zu finden. Dr. Guri ist nat\u00fcrlich nicht der einzige<\/a>, aber in den letzten Jahren war er an der Entdeckung von ein paar Dutzend solcher Methoden beteiligt.<\/p>\n

Eine neue Studie beschreibt eine weitere M\u00f6glichkeit, Daten von einem isolierten Computer zu extrahieren, diesmal unter Verwendung der Wi-Fi-Technologie (daher der Name Air-Fi).<\/p>\n

Wie Air-Fi funktioniert<\/h2>\n

Das Sch\u00f6ne an Air-Fi ist, dass es selbst dann funktioniert, wenn der angegriffene Computer nicht mit Wi-Fi ausgestattet ist. Stattdessen st\u00fctzt es sich auf bereits auf dem Ger\u00e4t platzierte Malware, die den DDR-SDRAM-Speicherbus nutzen kann, um elektromagnetische Strahlung mit einer Frequenz von 2,4 GHz zu erzeugen. Die Malware kann die erforderlichen Daten in Variationen dieser Strahlung verschl\u00fcsseln, und jedes Ger\u00e4t mit einem Wi-Fi-Empf\u00e4nger, einschlie\u00dflich eines anderen kompromittierten Ger\u00e4ts, kann die erzeugten Signale auf- und abfangen. Dieses andere Ger\u00e4t k\u00f6nnte ein normales Smartphone oder sogar eine intelligente Gl\u00fchbirne sein.<\/p>\n

Die Air-Fi-Methode ist aus Sicht der Cybersicherheit besonders unangenehm. Sie erfordert keine Administratorrechte auf dem isolierten Computer; ein normales Benutzerkonto kann die Aufgabe erledigen. Au\u00dferdem bietet die Verwendung einer virtuellen Maschine keinen Schutz; VMs haben Zugriff auf Speichermodule.<\/p>\n

Geschwindigkeit und Reichweite der Daten\u00fcbertragung<\/h2>\n

Die Forscher \u00fcbertrugen Daten ohne merkliche Verzerrungen mit einer Reichweite von bis zu 2 bis 3 Metern (in einem Fall bis zu 8 Metern) und einer Geschwindigkeit von bis zu 100 Bit pro Sekunde, abh\u00e4ngig von der Hardware im infizierten Computer und dem Typ des Empf\u00e4ngers. Wie bei den meisten \u00e4hnlichen Methoden ist das nicht sehr schnell. Die \u00dcbertragung einer 20 MB gro\u00dfen Datei w\u00fcrde z. B. 466 Stunden dauern. Der Text von \u201eJingle Bells\u201c mit einer Gr\u00f6\u00dfe von 1.300 Byte k\u00f6nnte dagegen in 90 Sekunden \u00fcbertragen werden. Vor diesem Hintergrund erscheint das Stehlen eines Benutzernamens und eines Passworts mit dieser Technik durchaus realistisch.<\/p>\n

Was kann man gegen Air-Fi unternehmen?<\/h2>\n

Die Verwendung von Air-Fi ist mit elektromagnetischen Emissionen verbunden. Sie k\u00f6nnen dieser Strategie mit den folgenden Ma\u00dfnahmen begegnen:<\/p>\n