AirHopper: robando información desde ordenadores aislados

Cuando pensamos en el robo de información desde sistemas informáticos siempre tendemos a imaginarnos ataques utilizando alguna herramienta o malware que permita tener el control de la máquina para poder obtener los documentos más valiosos. También podríamos pensar en dispositivos extraíbles como USB modificados que pueden usarse para robar información aun sin que el atacante tenga que interactuar con el sistema de la víctima.

Sin embargo, en los últimos meses estamos viendo una serie de técnicas o vectores de ataque que se salen de lo habitual y, no obstante, podrían ser de lo más efectivas. Si hacemos memoria, ya hemos hablado de mecanismos para propagar malware utilizando ondas de audio o romper claves de cifrado escuchando un microprocesador o incluso tocando una computadora.

Un poco de historia

Hubo un tiempo en el que un sistema informático se consideraba seguro si se encontraba aislado de cualquier red y no se permitía introducir ningún elemento externo, evitando así posibles infecciones o tempestfuga de información. Aun hoy, esa idea está bastante extendida en muchos departamentos de IT y no son pocos los sistemas que almacenan información crítica que siguen esas recomendaciones a rajatabla.

Sin embargo, esas medidas de seguridad fueron superadas hace bastante tiempo. En los años ’80 ya se empezó a hablar de la necesidad de proteger aquellos equipos con información importante del riesgo de fugas de información provocadas por una “emanación”, algo que, a día de hoy, sigue estando contemplado en la ISO 27002.

Por emanación entendemos aquellas señales electromagnéticas que emiten los monitores, ya sean los antiguos CRT de tubo o los modernos monitores LCD, LED o similares. De hecho, este robo de información tiene su propia denominación y se le conoce como Interferencia de Van Eck o ataque Tempest.

Innovando en estos ataques

Volviendo al presente, investigadores del laboratorio de ciberseguridad de la universidad de Ben-Gution en Israel presentaron AirHopper, un nuevo ataque que también permite obtener información desde una computadora aislada sin estar conectado a ella.

Para conseguirlo utilizan frecuencias de radio para transmitir la información que aparece en la computadora, a un teléfono móvil. Muchos de los móviles suelen venir con un receptor de radio FM que serviría para recoger las emisiones electromagnéticas que emite un monitor. Esto permite utilizar el móvil, junto a un software específico capaz de reconocer estas señales e interpretarlas, como vector de ataque para robar información privada sin estar conectado de ningún modo a la computadora atacada.

Su alcance (de 1 a 7 metros) y ancho de banda (13-60 Bytes por segundo) limita este ataque a espacios reducidos pero podría utilizarse para, por ejemplo, robar contraseñas en una oficina, tal y como se puede ver en el video a continuación:

¿Cómo funciona AirHopper?

Metiéndonos en detalle, para que este ataque tenga éxito se han de cumplir una serie de factores que constan de cuatro pasos:

1. Infectar la computadora objetivo

Este es quizás el paso más difícil puesto que se trata de un sistema aislado. No obstante, ataques como Stuxnet demostraron que era posible infectar este tipo de sistemas utilizando, por ejemplo, dispositivos USB infectados. Los investigadores también sugieren la infección a través de software de terceros utilizado en esos sistemas o incluso mediante piezas de hardware que contengan código malicioso en su firmware.

2. Infectar el teléfono móvil

Este paso es sencillo si el móvil es el del atacante pero, en caso de que no sea así, los vectores de ataque se multiplican con respecto a la computadora aislada. Se pueden utilizar webs maliciosas, correos electrónicos, mensajes SMS o incluso comunicaciones con otros dispositivos por Wi-Fi o Bluetooth para infectar el móvil. Y estos son solo unos ejemplos.

3. Establecer el canal de mando y control (C&C)

Una vez se ha conseguido infectar el móvil, el atacante debe establecer un canal de comunicación con él para poder recibir los datos robados y enviarle comandos si fuera necesario. Esto se puede realizar bien por conexiones inalámbricas o por el envío de mensajes SMS. El atacante también puede esperar a que el móvil disponga de una cobertura o conexión óptimas para recibir todos los datos robados.

4. Activación de la monitorización

El móvil debe permanecer atento para poder capturar la información crítica cuando esta se introduzca en la computadora. Puede estar escuchando a todas horas, solo durante ciertas horas, basándose en la posición GPS de la víctima o cuando el atacante envíe un mensaje para que empiece a detectar la señal electromagnética.

Si el atacante consigue que estos pasos se cumplan, puede tener posibilidades de obtener información confidencial de una empresa o usuario simplemente “escuchando” las emanaciones del monitor de la víctima cuando esta introduzca ciertos datos. No obstante, existen limitaciones, y es que al usar el receptor FM de un móvil, el equipo infectado debe “traducir” los datos filtrados a señales de audio y el móvil debe realizar la operación inversa, por lo que, como ya hemos comentado, su alcance y la velocidad del robo de estos datos es limitado.

Contramedidas

Las posibles medidas para evitar que un ataque de este tipo tenga éxito son varias:

  • Evitar la infección de los dispositivos

Para que este ataque tenga éxito es vital que el atacante consiga infectar tanto la computadora aislada como un móvil de la víctima. Si conseguimos bloquear la entrada de malware y cerramos los posibles vectores de ataque, este no podrá llevarse a cabo. En este caso en concreto es mucho más fácil proteger la computadora aislada, impidiendo que se introduzcan dispositivos extraíbles o asegurándose que estos son de plena confianza.

  • Reducir el nivel de emisión electromagnética

Se pueden aplicar filtros a la pantalla que reduzcan las emisiones electromagnéticas hasta niveles prácticamente imperceptibles. Esto impediría que el móvil pudiese capturar esta señal al ser demasiado débil.

  • Prohibir el uso de dispositivos móviles en ciertas áreas

Puede parecer una medida demasiado restrictiva, pero ya existen muchas organizaciones que no permiten el uso de móviles en ciertas áreas de sus instalaciones para evitar filtraciones. Si además confinamos estos dispositivos en jaulas de Faraday, evitaremos que reciban o envíen señales al exterior.

Conclusión

Si bien esta técnica representa una curiosa vuelta de tuerca a algo conocido como son los ataques Tempest, dudamos mucho que pueda ser utilizada en ataques masivos a empresas por todos los factores que se han de tener en cuenta. No obstante, esta técnica es ideal para lanzar ataques dirigidos a objetivos concretos sin levantar muchas sospechas, aunque si esta investigación se ha hecho pública, quién sabe lo que se puede estar utilizando actualmente sin que prácticamente nadie conozca su existencia.

Créditos imagen: ©Heartlover1717/Flickr

Autor , ESET

Síguenos