L'ANALISI TECNICA

LaserShark, scoperto un canale segreto bidirezionale e veloce per violare sistemi air gapped

Si chiama LaserShark la tecnica di attacco (sperimentale) che, sfruttando un canale ottico di comunicazione segreta attraverso i LED integrati in stampanti, PC e dispositivi di rete, consente di carpire informazioni dai sistemi air gapped. Ecco tutti i dettagli e le possibili misure di mitigazione

30 Dic 2021
L
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore

È stata ribattezzata LaserShark la nuova tecnica di attacco presentata durante la 37a conferenza annuale sulle applicazioni di sicurezza informatica ACSAC ‘21 da un gruppo di ricercatori tedeschi in un articolo accademico dal titolo “LaserShark: Establishing Fast, Bidirectional Communication into Air-Gapped Systems”.

Lo studio ha dimostrato che è possibile creare un nuovo canale ottico di comunicazione segreta, bidirezionale e veloce sfruttabile per carpire informazioni riservate dai sistemi air gapped e pertanto critici per la sicurezza.

Il nuovo vettore di attacco LaserShark

Il nuovo vettore di attacco LaserShark consentirebbe di violare i sistemi air gapped attraverso un canale nascosto che consente di sfruttare i LED integrati nei dispositivi da ufficio per stabilire una comunicazione bidirezionale.

WEBINAR
26 Maggio 2022 - 12:00
Sicurezza IT e identità digitali: come essere pronti ai nuovi trend in azienda
Dematerializzazione
Marketing

In particolare, dirigendo un laser su tali LED si riuscirebbe a indurre nell’hardware (con firmware compromesso) una corrente misurabile e captabile per ricevere i dati in ingresso.

Gli incidenti a SolarWinds e CodeCov hanno infatti dimostrato la fattibilità degli attacchi contro la catena di approvvigionamento del software con tutte le conseguenze del caso.

La novità principale di questa ricerca accademica sta nel fatto che, mentre la maggior parte dei precedenti modi di attaccare i sistemi air gapped sperimentati attraverso canali ottici, acustici, termici ed elettromagnetici consentono solo una comunicazione unidirezionale, ovvero l’infiltrazione oppure l’esfiltrazione dei dati, LaserShark consentirebbe un attacco autentico in diversi scenari pratici con una comunicazione bidirezionale e più veloce, stabilendo un canale di comando e controllo per aggiornare le funzionalità malevole e recuperare informazioni riservate e con una nuova tecnica di infiltrazione che impiega come ricevitori i led integrati nei dispositivi purché azionati tramite interfacce GPIO (General Purpose Input/Output) delle CPU.

Il modello LaserShark

Secondo i ricercatori, non sarebbe necessaria alcuna modifica hardware preventiva del dispositivo e il presunto attaccante non necessiterebbe né dell’accesso fisico al dispositivo e nemmeno dell’interazione accidentale/intenzionale dell’utente.

Detto questo però per il successo di un attacco dovrebbero essere garantiti i seguenti prerequisiti:

  1. una compromissione iniziale del dispositivo target attraverso la catena di fornitura del software così come accaduto negli incidenti SolarWinds e CodeCov, attacchi interni o di ingegneria sociale;
  2. che le caratteristiche del dispositivo, come i LED integrati e i dettagli del circuito, siano note all’attaccante;
  3. una linea di vista diretta per osservare e azionare i LED;
  4. che i LED integrati siano collegati e pilotati direttamente dal processore tramite un’interfaccia GPIO (secondo un’analisi dei ricercatori, la prevalenza di dispositivi con LED incorporati e compatibili per un attacco LaserShark non sarebbe trascurabile).

Figura 1

Sotto queste condizioni, il modello di attacco LaserShark prevederebbe così un canale nascosto bidirezionale sfruttando il LED integrato per:

  1. l’infiltrazione dei dati con una comunicazione in entrata stabilita tramite un laser. Utilizzando un raggio laser fortemente focalizzato, la corrente viene indotta sul LED. Se il dispositivo fa funzionare il led su un’interfaccia I/O, la tensione corrispondente può essere misurata via firmware e utilizzata per trasmettere e quindi infiltrare i dati;
  2. l’esfiltrazione dei dati con una comunicazione in uscita captata da un fotorilevatore. Per esfiltrare i dati, il dispositivo fa lampeggiare il LED secondo una codifica predeterminata, in modo tale che l’attaccante sia in grado di osservare la luce con un telescopio simile a quello utilizzato per focalizzare il laser al punto 1.

Strumenti impiegati in un attacco LaserShark

Per dimostrare l’efficacia di questa tipologia di attacco, i ricercatori hanno valutato sistematicamente le capacità di ricezione dei LED, caratterizzato i moduli laser, le lunghezze d’onda e la modulazione.

Gli esperimenti hanno dimostrato la possibilità di ottenere l’infiltrazione e l’esfiltrazione dei dati a una lunga distanza di 25 metri rispettivamente a 18,2 kbps e 100 kbps, garantendo una comunicazione segreta, veloce e bidirezionale, testando:

  • l’infiltrazione con un’incisione laser (blu/viola) su vari LED di colore diverso. Sono state impiegate anche apparecchiature con componenti facilmente disponibili in commercio;
  • l’esfiltrazione dei dati con fotocamere integrate sugli smartphone (tipo iPhone versione 6) o con fotorilevatori a valanga (dispositivi APD capaci di aumentare la sensibilità per la rilevazione della luce in entrata a bassa intensità).

Figura 3

Misure di protezione proattive

Sebbene l’isolamento fisico dei sistemi air gapped sia un metodo efficace per proteggere reti e computer critici per la sicurezza, la ricerca in questi anni ha dimostrato diversi approcci per violare le linee di difesa di questi ambienti.

Per tali motivi occorre sempre prevedere e potenziare, contro le minacce correlate allo sfruttamento di canali di comunicazione segreti ottici, acustici o elettromagnetici, adeguate misure di protezione proattive quali stanze otticamente opache (contromisura utile anche per l’attacco in oggetto), gabbie di Faraday, lo zoning e l’impiego di hardware e periferiche TEMPEST.

Per favorire la ricerca futura e promuovere le difese contro i canali nascosti, gli accademici hanno reso disponibili il codice utilizzato durante gli esperimenti, i dati grezzi delle misurazioni hardware, gli script e un video dimostrativo.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3