{"id":26046,"date":"2021-01-11T23:02:08","date_gmt":"2021-01-11T21:02:08","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=26046"},"modified":"2021-01-11T23:02:08","modified_gmt":"2021-01-11T21:02:08","slug":"rc3-etherify","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/rc3-etherify\/26046\/","title":{"rendered":"Ethernet, jetzt auch Broadcasting"},"content":{"rendered":"

Auf dem Chaos Communication Congress Ende letzten Jahres pr\u00e4sentierte der Forscher und Funkamateur Jacek Lipkowski die Ergebnisse seiner Experimente<\/a> zur Exfiltration von Daten aus einem isolierten Netzwerk mit Hilfe der elektromagnetischen Hintergrundstrahlung, die von Netzwerkger\u00e4ten erzeugt wird. Lipkowskis Pr\u00e4sentation mag die neueste sein, aber sie ist bei weitem nicht die einzige: Mit beunruhigender Regelm\u00e4\u00dfigkeit werden neue Methoden zum Exfiltrieren von Informationen aus Computern und Netzwerken aufgesp\u00fcrt, die sich au\u00dferhalb eines Air Gap befinden.<\/p>\n

Jeder Draht kann als Antenne fungieren, und Angreifer, die ein isoliertes Netzwerk infiltrieren und ihren Code ausf\u00fchren, k\u00f6nnten theoretisch eine solche Antenne nutzen, um Daten nach au\u00dfen zu senden \u2013 sie m\u00fcssten diese Strahlung nur mit Software modulieren.<\/p>\n

Lipkowski beschloss, die Machbarkeit der Daten\u00fcbertragung \u00fcber herk\u00f6mmliche Ethernet-Netzwerke zu testen<\/p>\n

Ein kleiner Hinweis gleich vorweg: Der Forscher hat in seinen Experimenten haupts\u00e4chlich das Raspberry Pi 4 Modell B verwendet, aber er ist zuversichtlich, dass die Ergebnisse auch mit anderen Ger\u00e4ten mit Ethernet-Anschluss reproduzierbar sind \u2013 oder zumindest mit eingebetteten Ger\u00e4ten. Er verwendete Morsecode, um die Daten zu \u00fcbertragen. Es ist nicht die effizienteste Methode, aber sie ist einfach zu implementieren. Jeder Funkamateur kann das Signal mit einem Funkger\u00e4t empfangen und die Nachricht entschl\u00fcsseln, indem er sie abh\u00f6rt, was Morsecode zu einer guten Option f\u00fcr die Demonstration der fraglichen Schwachstelle macht, welche der Autor Etherify nannte.<\/p>\n

Versuch 1: Modulierung der Frequenz<\/h2>\n

Moderne Ethernet-Controller verwenden das standardisierte Media-independent Interface (MII). Das MII sieht je nach Bandbreite eine Daten\u00fcbertragung mit unterschiedlichen Frequenzen vor: 2,5 MHz bei 10 Mbit\/s, 25 MHz bei 100 Mbit\/s und 125 MHz bei 1 Gbit\/s. Gleichzeitig erlauben die Netzwerkger\u00e4te eine Bandbreitenumschaltung und entsprechende Frequenz\u00e4nderungen.<\/p>\n

Daten\u00fcbertragungsfrequenzen, die unterschiedliche elektromagnetische Abstrahlung der Leitung erzeugen, sind die \u201eSchalthebel\u201c, die zur Signalmodulation genutzt werden k\u00f6nnen. Ein einfaches Skript, das z. B. 10-Mbit\/s-St\u00f6rungen als 0 und 100-Mbit\/s-St\u00f6rungen als 1 verwendet, kann einen Netzwerk-Controller anweisen, Daten mit der einen oder anderen Geschwindigkeit zu \u00fcbertragen und so im Wesentlichen die Punkte und Striche des Morsecodes zu erzeugen, die ein Funkempf\u00e4nger aus bis zu 100 Metern Entfernung leicht erfassen kann.<\/p>\n

Versuch 2: Die \u00dcbertragung von Daten<\/h2>\n

Das Umschalten der Daten\u00fcbertragungsgeschwindigkeit ist nicht die einzige M\u00f6glichkeit, ein Signal zu modulieren. Ein anderer Weg nutzt Abweichungen in der Hintergrundstrahlung von laufenden Netzwerkger\u00e4ten. Beispielsweise k\u00f6nnte Malware auf einem isolierten Computer das Standard-Netzwerkprogramm zur \u00dcberpr\u00fcfung der Verbindungsintegrit\u00e4t (ping -f) verwenden, um den Kanal mit Daten zu belasten. \u00dcbertragungsunterbrechungen und -wiederaufnahmen sind dann aus bis zu 30 Metern Entfernung h\u00f6rbar.<\/p>\n

Versuch 3: Sie ben\u00f6tigen keine Kabel<\/h2>\n

Das dritte Experiment war nicht geplant, aber die Ergebnisse waren trotzdem interessant. Beim ersten Test verga\u00df Lipkowski, ein Kabel an das sendende Ger\u00e4t anzuschlie\u00dfen. Trotzdem konnte er die Ver\u00e4nderung der Daten\u00fcbertragungsrate des Controllers aus etwa 50 Metern Entfernung h\u00f6ren. Das bedeutet, dass die Daten im Gro\u00dfen und Ganzen von einer isolierten Anlage \u00fcbertragen werden k\u00f6nnen, solange die Anlage einen Netzwerk-Controller hat, unabh\u00e4ngig davon, ob sie mit einem Netzwerk verbunden ist. Die meisten modernen Motherboards haben einen Ethernet-Controller.<\/p>\n

Weitere Versuche<\/h2>\n

Die Air-Fi-Methode der Daten\u00fcbertragung ist im Allgemeinen auf B\u00fcroger\u00e4ten (Laptops, Router) reproduzierbar, jedoch mit unterschiedlicher Effektivit\u00e4t. Die Laptop-Netzwerk-Controller, die Lipkowski f\u00fcr den Versuch verwendete, das urspr\u00fcngliche Experiment zu reproduzieren, bauten beispielsweise einige Sekunden nach jeder \u00c4nderung der Datenrate eine Verbindung auf und verlangsamten die \u00dcbertragung von Daten mittels Morsecode erheblich (obwohl es dem Forscher gelang, eine einfache Nachricht zu \u00fcbermitteln). Auch die maximale Entfernung zu den Ger\u00e4ten h\u00e4ngt stark von den jeweiligen Modellen ab. Lipkowski experimentiert weiter auf diesem Gebiet.<\/p>\n

Praktischer Nutzen<\/h2>\n

Entgegen der landl\u00e4ufigen Meinung werden isolierte Netzwerke hinter Air Gaps nicht nur in streng geheimen Laboratorien und kritischen Infrastruktureinrichtungen verwendet, sondern auch in normalen Unternehmen, die ebenfalls h\u00e4ufig abgeschirmte Ger\u00e4te wie Hardware-Sicherheitsmodule (f\u00fcr die Verwaltung digitaler Schl\u00fcssel, die Ver- und Entschl\u00fcsselung digitaler Signaturen und andere kryptografische Anforderungen) oder dedizierte, abgeschirmte Workstations (als lokale Zertifizierungsstellen, oder CAs) einsetzen. Sollte in Ihrem Unternehmen so etwas zum Einsatz kommen, bedenken Sie die M\u00f6glichkeit, dass Informationen aus dem System durch den Ait Gap nach au\u00dfen dringen k\u00f6nnen.<\/p>\n

Abgesehen davon hat Lipkowski einen relativ preiswerten USB-Heimempf\u00e4nger verwendet. Hacker, die \u00fcber betr\u00e4chtliche Ressourcen verf\u00fcgen, k\u00f6nnen sich wahrscheinlich empfindlichere Ger\u00e4te leisten, die den Empfangsbereich vergr\u00f6\u00dfern.<\/p>\n

Was die praktischen Ma\u00dfnahmen zum Schutz Ihres Unternehmens vor solchen undichten Stellen betrifft, k\u00f6nnen wir nur ein paar offensichtliche Tipps wiederholen:<\/p>\n