{"id":29628,"date":"2023-01-05T09:26:07","date_gmt":"2023-01-05T07:26:07","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=29628"},"modified":"2023-01-05T09:26:07","modified_gmt":"2023-01-05T07:26:07","slug":"covid-bit-attack","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/covid-bit-attack\/29628\/","title":{"rendered":"Funkl\u00f6cher: So bringt man die CPU dazu, ihre Geheimnisse preiszugeben"},"content":{"rendered":"

Der israelische Sicherheitsforscher Mordechai Guri der Ben-Gurion-Universit\u00e4t hat eine Studie<\/a> \u00fcber eine weitere Methode zum Exfiltrieren von Daten aus einem Air-Gap-Netzwerk ver\u00f6ffentlicht. Dieses Mal hat er einen Weg gefunden, Daten \u00fcber Funkwellen der CPU, genauer gesagt von deren Stromversorgung, zu \u00fcbertragen. Diese Methode der Datenexfiltration erfordert, dass der Angreifer nur wenige Meter von der CPU entfernt ist. Diese Tatsache erinnerte Guri an die strengen Regeln der sozialen Distanzierung w\u00e4hrend der COVID-19-Pandemie, woher auch der etwas seltsame Name der Methode, \u201eCOVID-Bit\u201c, stammt.<\/p>\n

Guri hat eine Vorliebe f\u00fcr bizarre Methoden der Datenexfiltration. Er untersucht regelm\u00e4\u00dfig die Sicherheit isolierter Computernetzwerke<\/a>, wobei er deutlich werden l\u00e4sst, dass es vollkommen sinnlos ist, sich beim Aufbau eines Sicherheitsmodells ausschlie\u00dflich auf die Air-Gap-Methode zu verlassen. Die meisten der von Guri und seinen Kollegen entdeckten Methoden funktionieren nur unter bestimmten Bedingungen \u2013 n\u00e4mlich dann, wenn es Angreifern gelungen ist, Spyware auf einem besonders gesch\u00fctzten Computer zu installieren, um gewisse Daten zu extrahieren. Letzteres muss diskret, ohne Internetverbindung und, wenn m\u00f6glich, mit Hilfe von Computerausr\u00fcstung, die das Opfer bereits benutzt, geschehen.<\/p>\n

\u00a0<\/p>\n

Schaltwandler als Transmitter<\/h2>\n

Dieses Mal untersuchte Guri die M\u00f6glichkeit, das Funktionsprinzip der Spannungsumschaltung f\u00fcr das Exfiltrieren von Daten zu nutzen. Jedes Telefon- oder Laptop-Netzteil ist im Grunde genommen ein AC\/DC-Konverter. Schaltnetzteile sind kompakter als lineare Netzteile, strahlen aber naturgem\u00e4\u00df eine Menge Funkst\u00f6rungen aus. Vor allem rufen sie St\u00f6rungen bei Funkamateuren hervor, die auf Mittel- und Kurzwellen arbeiten, wo sich die parasit\u00e4re Strahlung solcher Netzteile besonders bemerkbar macht.<\/p>\n

\u00c4hnliche Spannungswandler sind in vielen Computern vorhanden, von denen einige f\u00fcr die Stromversorgung der CPU eingesetzt werden. Alle modernen CPUs nutzen ein System der dynamischen Spannungs- und Frequenzvariation. Ein solches System erm\u00f6glicht eine Reduzierung des Stromverbrauchs, wenn die CPU inaktiv ist: Man kann ihre Frequenz und Spannung reduzieren und dann wieder stark erh\u00f6hen, wenn eine neue Rechenaufgabe ansteht.<\/p>\n

Da der Angreifer den Computer des Opfers im untersuchten Szenario bereits mit Malware kontrolliert, kann er die CPU-Last modifizieren \u2013 und damit auch ihre Frequenz und Spannung. Aber wie? Guri fand heraus, dass die parasit\u00e4re Strahlung eines Spannungswandlers seine Form \u00e4ndert, wenn die Betriebsspannung ver\u00e4ndert wird. Und die Spannung variiert in Abh\u00e4ngigkeit von der Last. Das hei\u00dft, indem man die CPU in einem bestimmten Intervall belastet, kann man ein Funksignal mit einer bestimmten Frequenz erzeugen.<\/p>\n

Die Signal\u00fcbertragungsfrequenz kann durch das abwechselndes Be- und Entladen der CPU in diesem bestimmten Intervall, und zwar tausende Male pro Sekunde, festgelegt werden. Die Art der CPU-Belastung (d. h., was die CPU berechnen soll) spielt dabei keine Rolle: Sie dient lediglich zur Erzeugung des Funksignals einer bestimmten Form. Die belastete CPU erfordert eine \u00c4nderung der Versorgungsspannung, der Spannungswandler erzeugt Funkst\u00f6rungen, und die Leiterbahnen auf dem Motherboard dienen als Antenne. So sieht das daraus resultierende Funksignal aus:<\/p>\n

Spektrale Darstellung eines von einem Computer ausgestrahlten Funksignals.<a href=\"https:\/\/arxiv.org\/pdf\/2212.03520.pdf\" target=\"_blank\">Quelle<\/a>.

Spektrale Darstellung eines von einem Computer ausgestrahlten Funksignals. Quelle<\/a>.<\/p><\/div>\n

\u00a0<\/p>\n

Diese Abbildung zeigt das Spektrum eines Funksignals mit Frequenzen von 2 bis 6 kHz. F\u00fcr die Daten\u00fcbertragung wird das Frequenzumtastverfahren verwendet, wobei hier die Signalfrequenz in Abh\u00e4ngigkeit von den \u00fcbertragenen Daten variiert. Aus diesem Grund sehen wir zwei \u201eLinien\u201c mit unterschiedlichen Frequenzen. Die Farbe, die von gr\u00fcn bis rot variiert, zeigt die Leistung an, woraus wir schlie\u00dfen k\u00f6nnen, dass das Funksignal der CPU recht schwach ist, nur wenig st\u00e4rker als die Interferenz, die unten auf dem Bild abgebildet ist. Achten Sie auf die Zeitleiste: Das Wort \u201eSECRET\u201c wird etwa 10 Sekunden lang \u00fcbertragen. Diese Methode des Datendiebstahls ist sehr langsam, aber f\u00fcr bestimmte Arten von sensiblen Informationen kann sie ausreichen. Falls erforderlich, kann die \u00dcbertragungsrate erh\u00f6ht werden, indem mehrere CPU-Kernel gleichzeitig (aber unterschiedlich) belastet werden.<\/p>\n

\u00a0<\/p>\n

Empfangen von Geheimnissen per Telefon<\/h2>\n

Guri geht auch ausf\u00fchrlich auf das Problem des Empfangs ein. Ein Funksignal mit geringer Leistung kann in der Realit\u00e4t in einer Entfernung von h\u00f6chstens 2 Metern von einem isolierten System empfangen werden.<\/p>\n

COVID-Bit-Datendiebstahlszenario: Ein Angreifer bewegt sich in der Mindestentfernung vom Computer, ohne die Aufmerksamkeit auf sich zu ziehen. <a href=\"https:\/\/arxiv.org\/pdf\/2212.03520.pdf\" target=\"_blank\">Quelle<\/a>.

COVID-Bit-Datendiebstahlszenario: Ein Angreifer bewegt sich in der Mindestentfernung vom Computer, ohne die Aufmerksamkeit auf sich zu ziehen. Quelle<\/a>.<\/p><\/div>\n

\u00a0<\/p>\n

Die Abbildung zeigt eines der m\u00f6glichen Szenarien: Ein Angreifer besucht das B\u00fcro seines Zielobjekts und extrahiert geheime Informationen von einem infizierten Computer. Die Datenexfiltration kann auch von einem bestochenen Mitarbeiter der Zielorganisation durchgef\u00fchrt werden. In beiden F\u00e4llen ist es eher unwahrscheinlich, dass die Angreifer in der Lage sind, sperrige Ger\u00e4te bei sich zu tragen. In der Studie wird daher eine Methode f\u00fcr den Empfang von klassifizierten Informationen per Smartphone hervorgehoben.<\/p>\n

Die meisten Smartphones sind nicht mit einem Mittelwellen-Empf\u00e4nger ausgestattet, Abhilfe kann aber auch mit einem Audio-Chip geschafft werden. Ein Analog-Digital-Umsetzer im Smartphone kann Radiowellen mit einer Frequenz von bis zu 24 Kilohertz digitalisieren; dazu muss eine Antenne in die Headset-Buchse gesteckt werden. Das ist zwar nicht ideal, aber wie die Praxis zeigt, erf\u00fcllt es seinen Zweck.<\/p>\n

Die daraus resultierende Technik der Datenexfiltration ist ziemlich effektiv (nat\u00fcrlich gemessen an den Ma\u00dfst\u00e4ben von Angriffen auf gesch\u00fctzte isolierte Systeme). Neben der oben gezeigten \u201elangsamen\u201c Form des Datendiebstahls hat Guri auch schnellere \u00dcbertragungsmethoden getestet, bei denen einige Geschwindigkeiten von bis zu 1000 bps erreicht haben. Ausreichend, um eine IP-Adresse augenblicklich, einen Verschl\u00fcsselungsschl\u00fcssel in 4 Sekunden und kleine Dateien in Minuten zu \u00fcbertragen.<\/p>\n

Anti-Spionage<\/h2>\n

Die Studie listet m\u00f6gliche Wege auf, um der hier dargestellten Exfiltrationsmethode entgegenzuwirken. Die einfachste ist die soziale Distanzierung \u2013 Au\u00dfenstehende d\u00fcrfen sich gesch\u00fctzten Computern nicht mehr als 2 Meter n\u00e4hern. Es gibt aber auch eine etwas komplexere M\u00f6glichkeit: So kann man beispielsweise den Datentransfer unterbrechen, indem man die CPU mit eigenen Aufgaben belastet. Das verbraucht zwar Energie, verhindert Datenverluste aber zuverl\u00e4ssig. Interessanterweise macht das Blockieren der CPU auf einer bestimmten Frequenz trotz der Verringerung der Signalleistung die Daten\u00fcbertragung nicht unm\u00f6glich. Die variierende CPU-Belastung erzeugt St\u00f6rungen, die Spionen selbst bei gleichbleibender helfen k\u00f6nnen.<\/p>\n

Noch sinnloser sind Versuche, verdeckte Funk\u00fcbertragungen aufzusp\u00fcren. Sie sind dem normalen Betrieb von Computerhardware zu \u00e4hnlich. Guri zeigt, dass es f\u00fcr jede M\u00f6glichkeit, die Isolierung von Computern zu erh\u00f6hen, auch neue Wege gibt, Daten \u00fcber Kan\u00e4le von Drittanbietern zu exfiltrieren. Zu viele Dinge auf Ihrem Computer verursachen Interferenzen und Hintergrundger\u00e4usche, die dann manipuliert werden k\u00f6nnen. Es ist viel besser zu akzeptieren, dass Air-Gaps allein keine vollst\u00e4ndige Sicherheit bieten. Sie neutralisieren das Risiko von Angriffen aus dem Internet, nicht aber andere Formen von Cyberattacken. Will hei\u00dfen, dass ein wirksamer Schutz isolierter Systeme ohne Tools zur Erkennung und Entsch\u00e4rfung von Malware unm\u00f6glich ist. Oder besser gesagt, ohne ein umfassendes Sicherheitssystem, das alle Aspekte eines dezidierten sicheren Netzwerks<\/a> abdeckt.<\/p>\n","protected":false},"excerpt":{"rendered":"

Datendiebstahl aus einem isolierten Netzwerk durch Manipulation des Spannungsschaltwandlers.<\/p>\n","protected":false},"author":665,"featured_media":29631,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3107],"tags":[3593,3185,337],"class_list":{"0":"post-29628","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-air-gap","10":"tag-cpu","11":"tag-spionage"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/covid-bit-attack\/29628\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/covid-bit-attack\/25011\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/covid-bit-attack\/20506\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/covid-bit-attack\/27577\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/covid-bit-attack\/25340\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/covid-bit-attack\/25666\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/covid-bit-attack\/28224\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/covid-bit-attack\/34444\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/covid-bit-attack\/46665\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/covid-bit-attack\/19915\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/covid-bit-attack\/20510\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/covid-bit-attack\/25702\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/covid-bit-attack\/31386\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/covid-bit-attack\/31096\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/air-gap\/","name":"Air Gap"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29628","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/665"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=29628"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29628\/revisions"}],"predecessor-version":[{"id":29635,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29628\/revisions\/29635"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/29631"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=29628"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=29628"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=29628"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}