LANtenna hack espionne vos données de l'autre côté de la pièce ! (Sorte de)

Si vous êtes un auditeur de Naked Security Podcast (et si ce n'est pas le cas, essayez-le et abonnez-vous si vous l'aimez !), vous vous souviendrez peut-être d'une remarque humoristique sur les attaques "sideband" et les astuces d'exfiltration de données sournoise que l'expert de Sophos Chester Wisniewski fait dans un épisode récent.

Nous parlions de la manière d'empêcher les cybercriminels de voler des portefeuilles de crypto-monnaie, et j'ai remarqué que la taille modeste des fichiers de portefeuille les rendait non seulement plus faciles à identifier, mais aussi plus rapides à se faufiler hors d'un réseau une fois qu'ils avaient été localisés.

La boutade de Chester à ce stade était:

Dès que vous avez dit cela, j'ai pensé aux chercheurs de l'Université Ben Gourion qui font toujours une sorte d'attaque à bande latérale… [par exemple,] ils font varier la fréquence des ampoules pour faire fuir 11 octets de données de l'ordinateur. J'attends juste qu'ils divulguent un portefeuille Bitcoin en jouant de la musique via les haut-parleurs, ou quelque chose comme ça !

Eh bien, l'attente de Chester est peut-être terminée. (En théorie, du moins.)

Mordechai Guri de l'Université Ben Gourion du Néguev (BGU) susmentionnée en Israël a récemment publié un nouvel article sur "l'exfiltration de données" détaillant un moyen étonnamment efficace d'extraire de très petites quantités de données d'un réseau câblé sans utiliser aucune sorte d'interconnexion évidente. .

Celui-ci est intituléLANTENNA : Exfiltrer les données des réseaux isolés via des câbles Ethernet, et c'est la dernière des nombreuses publications de BGU ces dernières années traitant d'un problème délicat de cybersécurité, à savoir…

… comment diviser un réseau en deux parties, fonctionnant à des niveaux de sécurité différents, qui peuvent néanmoins coopérer et même échanger des données en cas de besoin, mais uniquement de manière strictement contrôlée et bien surveillée.

Déconnecter physiquement les deux réseaux de sorte qu'une intervention humaine soit nécessaire pour déplacer les données entre eux semble être une solution évidente, créant le proverbial "airgap" mentionné dans le titre de l'article de Guri.

En règle générale, cela signifie également interdire les protocoles de communication "free air" tels que Bluetooth et Wi-Fi, au moins du côté le plus sécurisé du réseau, de sorte que tout point d'interconnexion nécessite véritablement une sorte d'interaction physique.

Vous pouvez toutefois autoriser les technologies sans fil (éventuellement limitées) sur le côté le moins sécurisé du réseau, tant qu'aucune émanation du côté non sécurisé ne peut être reçue, que ce soit par accident ou à dessein, du côté sécurisé et tant qu'il y a il n'y a aucune émanation détectable du côté sécurisé qui pourrait être détectée du côté non sécurisé.

À un moment donné, les entrefers physiques tels que le branchement d'un câble réseau dans une prise spéciale ou l'utilisation d'un périphérique USB soigneusement contrôlé dans un port USB spécifique étaient considérés comme une bonne solution à ce problème, bien que même les entrefers basés sur USB puissent parfois être rompus, comme le savent tous ceux qui ont étudié le tristement célèbre virus Stuxnet.

Stuxnet a été programmé pour endommager un élément spécifique de l'équipement de contrôle industriel s'il se retrouvait à fonctionner sur un ordinateur connecté de la bonne manière au bon type d'appareil.

Pendant très longtemps, personne n'a pu déterminer quel était le "bon" (ou le mauvais) type d'équipement, car le virus n'identifiait pas le matériel par son nom mais simplement par certaines caractéristiques arbitraires qui devaient correspondre.

Le casse-tête était un peu comme essayer de trouver une seule personne sur terre en se basant uniquement sur une empreinte digitale partielle et son âge approximatif.

Finalement, un appareil a été retrouvé qui correspondait au "est-ce qu'il ressemble à celui que nous voulons?" règle codée dans Stuxnet, et il s'est avéré être un type de centrifugeuse industrielle (utilisée pour séparer des substances délicates avec des caractéristiques presque mais pas tout à fait identiques, telles que différents isotopes de l'uranium) connue pour être utilisée en Iran.

Vous pouvez probablement extrapoler le reste de la saga Stuxnet si vous ne la connaissez pas déjà.

Mais qu'en est-il de l'exfiltration de données à travers un airgap dans un monde post-Stuxnet, où les opérateurs de réseaux à airgap sont devenus beaucoup plus stricts sur les « contrôles aux frontières » entre les deux côtés du réseau ?

Quels canaux secrets pourraient être utilisés, même s'ils n'offraient que les débits de données les plus modestes ?

Comment pourriez-vous détecter et empêcher l'abus de ces canaux s'ils étaient effectivement exploitables par des initiés corrompus (peut-être avec l'aide innocente de collègues cooptés sans le savoir), si les astuces utilisées étaient suffisamment absconses pour ne pas éveiller les soupçons en premier lieu ?

Les recherches précédentes de BGU ont mis en garde contre les astuces de fuite de données à faible bande passante qui peuvent être orchestrées à l'aide de techniques aussi variées que :

LA STEGANOGRAPHIE EXPLIQUEE

Vidéo originale ici : https://www.youtube.com/watch?v=q2hD4v8_8-sCliquez sur l'icône en forme de rouage pour accélérer la lecture ou afficher les sous-titres en direct.

LANtenna est plus ou moins la même, cette fois en abusant de l'élément de base de tout réseau dit sécurisé : les câbles LAN eux-mêmes.

Avec le Wi-Fi hors du menu pour la simple raison que vous ne pouvez pas voir (ou contrôler facilement) où il va, car il s'agit d'un support de diffusion électromagnétique utilisant une partie invisible du spectre radio, la plupart des réseaux sécurisés reposent sur des parcours visibles de câblage réseau traditionnel et commutateurs.

Dans les réseaux câblés, qui utilisent principalement des câbles à paires torsadées blindées tels que CAT5e, CAT6 et des spécifications supérieures, un connecteur suspect peut être physiquement tracé jusqu'à sa source ou sa destination (en supposant qu'il soit remarqué, bien sûr).

La fabrication de chaque conducteur du câble à partir d'une paire de fils torsadés l'un autour de l'autre sur leur longueur réduit les fuites électromagnétiques, et donc les interférences, une propriété découverte et exploitée pour la première fois dans les premiers jours de l'industrie du téléphone. Un blindage supplémentaire autour de chaque paire de conducteurs et autour de l'ensemble du câble, ainsi que des torsions plus serrées utilisant plus de fil, améliorent les performances et réduisent encore plus les émissions parasites.

De plus, tout appareil ou segment d'un réseau câblé peut être déconnecté rapidement, de manière fiable et visible en débranchant l'une des extrémités d'un câble.

Mais à quel point ces câbles à paires torsadées sont-ils blindés ?

Plus important encore, si leur blindage n'est pas parfait, quelle serait la taille, le coût et l'évidence de l'équipement dont vous auriez besoin pour le détecter ?

En d'autres termes, si un collaborateur du côté sécurisé du réseau pouvait faire en sorte que des données apparemment innocentes avec une signification cachée soient envoyées sur le réseau…

… Comment pourriez-vous (et vous pourriez être votre propre collaborateur, bien sûr) subrepticement et sans controverse récupérer les données codées stéganographiquement avec un appareil d'apparence innocente du côté non sécurisé ?

Si vous aviez besoin d'une antenne Uda-Yagi de deux mètres de long pour capter les émissions parasites et d'un matériel de détection spécialisé dans un boîtier de la taille d'une des enceintes acoustiques de Spinal Tap, il est peu probable que vous vous en sortiez.

Guri a découvert qu'il était capable d'émettre des données codées, via l'attaque LANtenna, en utilisant deux techniques différentes :

Guri a découvert qu'il pouvait détecter ces émissions parasites de manière fiable jusqu'à trois mètres de distance en utilisant du matériel de "radio logicielle" de base disponible sous la forme de dongles USB bon marché et de taille modeste, faciles à dissimuler ou à déguiser en plus innocents. à la recherche de périphériques matériels.

La première technique était beaucoup plus fiable et donnait des taux d'exfiltration plus rapides, mais nécessite généralement un accès root (sysadmin) sur l'ordinateur utilisé pour divulguer les données.

Le basculement de vitesse est également susceptible d'être repéré et régulièrement enregistré par le matériel de surveillance du réseau, notamment parce que les cartes réseau qui maintiennent la vitesse de commutation suggèrent des problèmes matériels tout en étant suspectes du point de vue de la sécurité.

Il est également peu probable que cette astuce fonctionne dans un environnement de machine virtuelle, car le système d'exploitation invité fonctionne généralement avec une carte réseau virtuelle qui prétend simplement changer de vitesse, tandis que l'interaction physique avec le réseau lui-même est gérée par l'ordinateur hôte, qui combine tout le trafic de la machine virtuelle et l'envoie à une vitesse constante.

Ainsi, la deuxième méthode était plus facile à exploiter, même dans les ordinateurs virtuels…

… mais les débits de données que Guri a pu atteindre étaient pour le moins modestes.

On parle juste d'un bit par seconde (soit environ 400 octets par heure, soit environ un film par millénaire) en utilisant la technique des "paquets de données innocents", avec une portée fiable de 2m en utilisant un PC, à partir duquel les émissions étaient plus fortes, ou juste 1m en utilisant un ordinateur portable.

Mais c'est encore suffisant pour divulguer de nombreuses clés cryptographiques symétriques typiques, ou plusieurs clés privées de crypto-monnaie, en une seule journée de travail, donc la remarque de Chester dans S3 Ep46 du podcast est peut-être devenue réalité après tout.

Guri a plusieurs recommandations de contre-mesures, dont les plus évidentes et les plus faciles à mettre en œuvre sont :

Guri suggère également que vous pourriez envisagerémettant vos propres signaux de brouillage de contre-surveillancedans les plages de bande passante qu'il surveillait avec ses dongles radio logiciels (généralement 125 MHz et plus), etémettant un trafic UDP aléatoire en arrière-plande votre propre chef pour confondre quiconque utilise la technique de signalisation du "paquet de données innocent".

Ces deux dernières contre-mesures sont, bien sûr, spécifiques à l'attaque LANtenna comme décrit dans l'article, donc une variation sur le thème de Guri pourrait les contourner.

Bonne chasse!

(Si vous êtes un Blue Teamer de zone sécurisée, c'est une excellente excuse pour le budget pour acheter du matériel de radio définie par logiciel !)

Suivre@NakedSecurity sur Twitterpour les dernières nouvelles sur la sécurité informatique.

Suivre@NakedSecurity sur Instagrampour des photos, des gifs, des vidéos et des LOL exclusifs !