{"id":29984,"date":"2023-04-13T09:47:02","date_gmt":"2023-04-13T07:47:02","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=29984"},"modified":"2023-04-13T09:47:02","modified_gmt":"2023-04-13T07:47:02","slug":"pc-speaker-data-exfiltration","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/pc-speaker-data-exfiltration\/29984\/","title":{"rendered":"Datenexfiltration – \u00fcber einen integrierten PC-Lautsprecher"},"content":{"rendered":"

Forscher der Korea University in Seoul haben ein Paper<\/a> ver\u00f6ffentlicht, das eine neue Methode des Datendiebstahls von einem maximal gesch\u00fctzten Computer beschreibt, der sich in einem isolierten Raum befindet und von einem Air Gap umgeben ist (d. h. er ist weder mit dem Internet noch mit einem lokalen Netzwerk verbunden). Diese Form des Angriffs kann einem b\u00f6swilligen Akteur als letzter Ausweg dienen, wenn keine anderen, einfacheren Methoden in Frage kommen.<\/p>\n

F\u00fcr die Datenexfiltration wird in diesem Fall der Lautsprecher des Computers verwendet: kein Plug-in-Ger\u00e4t, sondern ein \u00dcberbleibsel der ersten PCs \u2013 der interne Lautsprecher, auch als \u201ePC-Lautsprecher\u201c bekannt. Motherboards verf\u00fcgen aus Kompatibilit\u00e4tsgr\u00fcnden in der Regel immer noch \u00fcber einen solchen Lautsprecher, der f\u00fcr die Datenexfiltration verwendet werden kann.<\/p>\n

Hintergrund<\/h2>\n

Wir haben bereits mehrere Beitr\u00e4ge \u00fcber diverse Datendiebstahlsmethoden ver\u00f6ffentlicht. In diesem Artikel<\/a> geht es beispielsweise um das Abh\u00f6ren von Smartphones mit Hilfe des dort eingebauten Beschleunigungsmessers. In diesem Beitrag<\/a> wird beschrieben, wie Daten durch die Manipulation des Funksignals der CPU-Stromversorgung gestohlen werden. Die Datenexfiltration \u00fcber den auf dem Motherboard montierten Lautsprecher mag im Vergleich zu diesen beiden Methoden recht simpel erscheinen, aber wir d\u00fcrfen nicht vergessen, dass die Erfolgsaussichten bei einem einfachen Angriff umso gr\u00f6\u00dfer sind. Zudem ben\u00f6tigen Angreifer keine spezielle Ausr\u00fcstung, um an wertvolle Daten zu gelangen: Es reicht aus, ein Smartphone in die N\u00e4he des Zielcomputers zu bringen.<\/p>\n

S\u00e4mtliche Studien dieser Art beginnen mit der Beschreibung eines hypothetischen Angriffsszenarios. In diesem Fall ist es dieses: Angenommen, es handelt sich um den Rechner einer Regierung oder eines Unternehmens, der geheime Informationen enth\u00e4lt. Diese Daten sind so streng geheim, dass der Computer aus Sicherheitsgr\u00fcnden vom Internet und m\u00f6glicherweise sogar vom LAN isoliert ist; das Szenario setzt jedoch voraus, dass der Computer trotzdem auf die eine oder andere Weise mit Spyware infiziert wird. Wie das genau passiert, ist allerdings nicht Gegenstand der Forschungsarbeit. Nehmen wir an, ein Spion hat es geschafft, ein Flash-Laufwerk in den maximal gesichterten Raum zu bringen und es an den Computer anzuschlie\u00dfen. Oder aber der Computer wurde \u00fcber einen Supply-Chain-Angriff<\/a> infiziert, noch bevor er an das Unternehmen geliefert wurde.<\/p>\n

Das Spionageprogramm hat so zwar alle Geheimnisse gesammelt, doch nun m\u00fcssen die Angreifer einen Weg finden, sie erfolgreich zu entwenden. In dem von den koreanischen Forschern angewandten Szenario betritt der Spion physisch den Raum, in dem sich der Computer befindet, und f\u00fchrt ein Smartphone mit einer simplen Tonaufzeichnungssoftware mit sich. Die Spyware \u00fcbertr\u00e4gt die Daten in Form von Audiosignalen mit einer so hohen Frequenz, dass sie f\u00fcr die Ohren der meisten Menschen nicht h\u00f6rbar ist. Der Ton wird vom Smartphone aufgezeichnet und dann von den Angreifern entschl\u00fcsselt, um die Daten wiederherzustellen.<\/p>\n

Wichtig ist, dass es schon fr\u00fcher Forschungen zur Datenexfiltration \u00fcber Lautsprecher gegeben hat. In diesem Forschungsbericht<\/a> aus Israel aus dem Jahr 2018 wird gezeigt, wie zwei Computer mithilfe von Lautsprechern und einem eingebauten Mikrofon \u00fcber Ultraschall kommunizieren k\u00f6nnen. Diese hypothetische Angriffsmethode hat allerdings einen Haken: Stellen Sie sich vor, ein Computer steuert wertvolle Ger\u00e4te. W\u00fcrde ein Unternehmen ihn wirklich mit zus\u00e4tzlichen externen Audioger\u00e4ten ausstatten, um dem Betreiber die Arbeit zu erleichtern? Dieser Angriff ist also nur m\u00f6glich, wenn die gesch\u00fctzten Informationen auf einem Laptop gespeichert sind, da Laptops in der Regel \u00fcber integrierte Lautsprecher verf\u00fcgen.<\/p>\n

Die Herausforderungen eines Angriffs via Ultraschall<\/h2>\n

Laut den koreanischen Forschern w\u00fcrden die Angreifer den eingebauten PC-Lautsprecher verwenden. Damals, 1981, war dies das einzige Audioger\u00e4t im ersten IBM-PC. Auch wenn der PC-Lautsprecher meist nur quietschende Ger\u00e4usche von sich gab, gelang es einigen Entwicklern von Videospielen, seine primitiven F\u00e4higkeiten zu nutzen, um anst\u00e4ndige Soundtracks zu erstellen. Moderne PCs verwenden den internen Lautsprecher fast nur noch f\u00fcr Diagnosezwecke. Will der Computer einfach nicht hochfahren, kann ein Techniker die Fehler anhand der Anzahl und Dauer der T\u00f6ne, die der eingebaute Lautsprecher abgibt, identifizieren. Der urspr\u00fcngliche PC-Lautsprecher aus den achtziger Jahren war eine separate Einheit, die an den Schnittstellen des Motherboards angebracht war. Auf modernen Platinen ist in der Regel ein winziger Lautsprecher aufgel\u00f6tet.<\/p>\n

Die koreanischen Forscher mussten einen zuverl\u00e4ssigen und vor allem praktischen Daten\u00fcbertragungskanal aufzeigen, der den Lautsprecher nutzt. Der Teil der \u00dcbertragung war recht einfach: \u201eMalware\u201c, die auf einem Ubuntu-Linux-Rechner lief, wechselte zwischen kurzen 18-kHz- und 19-kHz-Piept\u00f6nen, wobei der erste den \u201ePunkt\u201c und der zweite den \u201eQuerstrich\u201c darstellte. Auf diese Weise k\u00f6nnten Informationen im Morsecode<\/a> \u00fcbermittelt werden, der normalerweise f\u00fcr die Funkkommunikation verwendet wird. Wenn man diese Ton\u00fcbertragung (die f\u00fcr die meisten Menschen unh\u00f6rbar ist) auf einem Smartphone aufzeichnet, erh\u00e4lt man etwa folgendes Resultat:<\/p>\n

\"Signal-Spektrogramm

Signal-Spektrogramm \u00fcber den integrierten Lautsprecher, aufgenommen mit einem Smartphone. Die oberen Linien sind \u201ePunkte\u201c und \u201e(Quer-)Striche\u201c, aus denen sich die \u00fcbertragenen Daten zusammensetzen. Quelle<\/a><\/p><\/div>\n

Das Spektrogramm zeigt die T\u00f6ne, die f\u00fcr die Verschl\u00fcsselung des Wortes \u201ecovert\u201c (geheim<\/em>) verwendet wurden. Es dauerte etwa vier Sekunden, um nur sechs Zeichen zu \u00fcbertragen. Der Prozess der Exfiltration ist also langsam, aber immer noch f\u00fcr bestimmte Arten von Informationen wie Passw\u00f6rter und Verschl\u00fcsselungsschl\u00fcssel geeignet. Die Linien bei 18kHz und 19kHz sind die vom Computerlautsprecher erzeugten Signale. Ihre Lautst\u00e4rke entspricht dem Hintergrundrauschen im Raum, das im unteren Teil des Spektrogramms dargestellt ist.<\/p>\n

Die Forscher f\u00fchrten mehrere Experimente durch, um ideale Bedingungen f\u00fcr die Daten\u00fcbertragung zu schaffen: Die Datenrate musste bei oder unter 20 Bit pro Sekunde bleiben, um Daten aus einer Entfernung von bis zu 1,5 Metern zuverl\u00e4ssig empfangen zu k\u00f6nnen. Eine weitere Verlangsamung der \u00dcbertragung k\u00f6nnte diese Entfernung um etwa einen halben Meter erh\u00f6hen. Eine Verdopplung der Daten\u00fcbertragungsrate wurde erreicht, wenn das Handy nur wenige Zentimeter von der Systemeinheit platziert wurde. Alles andere als kurze Datenschnipsel w\u00fcrde mehrere Stunden f\u00fcr die \u00dcbertragung ben\u00f6tigen, was einen Angriff nahezu unm\u00f6glich macht.<\/p>\n

Ein Air Gap garantiert kein sicheres System<\/h2>\n

Die Daten\u00fcbermittlung per Ultraschall ist eine gut erforschte Methode, die manchmal f\u00fcr Verbraucherzwecke verwendet wird. In einer gesicherten Umgebung stellt dieser Seitenkanal<\/a> eine Bedrohung dar. Die koreanischen Forscher schlagen vor, als Schutz gegen diese Art von Angriffen den Lautsprecher vom Motherboard zu entfernen. Aus anderen Studien wissen wir jedoch, dass es schwierig ist, sich gegen alle m\u00f6glichen Tricks zur Datenexfiltration zu sch\u00fctzen, wenn es um viel Geld geht und der Angreifer sowohl Zeit als auch Ressourcen aufwenden will, um sein Ziel zu erreichen. Nach Entfernung des eingebauten Lautsprechers besteht immer noch die M\u00f6glichkeit, Funkwellen von SATA-Kabeln, der CPU oder dem Monitor abzufangen, wenngleich mit weitaus raffinierteren Methoden.<\/p>\n

Eine maximale Isolierung eines jeden Computers, auf dem geheime Daten gespeichert sind, ist unerl\u00e4sslich. Es ist jedoch viel praktischer, in ein Malware-Erkennungssystem<\/a> zu investieren, da jedes Spionageszenario damit beginnt, dass Angreifer Malware auf dem Zielsystem installieren. Trotzdem lehrt uns die Studie der koreanischen Forscher \u00fcber neue verdeckte Kan\u00e4le, die zum Datendiebstahl genutzt werden k\u00f6nnen.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Eine Methode zum Datendiebstahl aus einem Air-Gap-System \u00fcber einen Lautsprecher, von dem Sie vielleicht nicht einmal wissen, dass er existiert.<\/p>\n","protected":false},"author":665,"featured_media":29986,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3107],"tags":[3593,3736],"class_list":{"0":"post-29984","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-air-gap","10":"tag-datenexfiltration"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/pc-speaker-data-exfiltration\/29984\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/pc-speaker-data-exfiltration\/25473\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/pc-speaker-data-exfiltration\/20906\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/pc-speaker-data-exfiltration\/28077\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/pc-speaker-data-exfiltration\/25775\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/pc-speaker-data-exfiltration\/26171\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/pc-speaker-data-exfiltration\/28632\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/pc-speaker-data-exfiltration\/35236\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/pc-speaker-data-exfiltration\/47737\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/pc-speaker-data-exfiltration\/21061\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/pc-speaker-data-exfiltration\/33660\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/pc-speaker-data-exfiltration\/26211\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/pc-speaker-data-exfiltration\/31785\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/pc-speaker-data-exfiltration\/31471\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/air-gap\/","name":"Air Gap"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29984","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/665"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=29984"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29984\/revisions"}],"predecessor-version":[{"id":29988,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29984\/revisions\/29988"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/29986"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=29984"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=29984"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=29984"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}