Onderzoekers hebben een nieuwe manier bedacht om data van air-gapped computers te stelen, waarbij gebruik wordt gemaakt van radiosignalen die via SATA-kabels worden uitgezonden. Net als eerdere onderzoeken om gegevens van offline computers te exfiltreren is ook dit onderzoek uitgevoerd door onderzoekers van de Ben-Gurion University.
Het is een bekende beveiligingsmaatregel om systemen met vertrouwelijke data niet op internet aan te sluiten. Dit wordt ook wel een air-gap genoemd. Een offline computer kan echter nog steeds worden geïnfecteerd, bijvoorbeeld via usb-sticks of een kwaadwillende werknemer. Een bekend voorbeeld hiervan is Stuxnet. Om vervolgens van een besmette offline computer toch data te kunnen stelen ontwikkelden onderzoekers de afgelopen tijd verschillende methodes.
Bijvoorbeeld door gebruik te maken van speakers, airconditioning, geluid van de harde schijf, ventilatoren, radiogolven, infraroodcamera's, scanners, afgegeven warmte, usb-straling, mobiele telefoons, harde schijflampjes, routerlampjes, magnetische velden, toetsenbordlampjes en wifi-signalen zijn gegevens direct naar de aanvaller of via een wel met internet verbonden besmette computer of smartphone in de buurt terug te sturen.
De aanval die de onderzoekers nu presenteren wordt "SATAn" genoemd. Wederom moet de air-gapped computer eerst met malware zijn besmet. Deze malware kan vervolgens via de SATA-kabels radiosignalen genereren. De door de malware verzamelde gegevens worden gemoduleerd, geencodeerd en vervolgens via dit geheime kanaal verstuurd. De uitgezonden radiosignalen dienen via een radio-ontvanger te worden ontvangen.
De onderzoekers merken op dat de SATA-interface in de meeste systemen, apparaten en netwerkomgevingen voor aanvallers toegankelijk is. Die kunnen de SATA-kabel als een soort antenne gebruiken om radiosignalen te genereren. Dit gebeurt door de elektromagnetische straling van de kabel te manipuleren. De beste oplossing om een dergelijke exfiltratie te voorkomen is volgens de onderzoekers het air-gapped systeem niet met malware te laten besmetten. Een andere oplossing is namelijk het gebruik van signaaljammers, maar dergelijke apparaten zijn prijzig en niet op grote schaal uit te rollen.
Deze posting is gelocked. Reageren is niet meer mogelijk.