AIR-FI, un metodo de ataque que permite extraer datos de memorias DDR
Investigadores de la Universidad Ben-Gurion, estudiando métodos ocultos de transmisión de datos desde computadoras aisladas, han desarrollado un nuevo método de organización de un canal de comunicación llamado «AIR-FI», que permite, mediante la manipulación de chips de memoria DDR, generar una señal de radio a una frecuencia de 2.4 GHz, que puede capturado por un dispositivo habilitado para Wi-Fi a varios metros de distancia.
Desde un punto de vista práctico, el método se puede utilizar para transferir claves de cifrado, contraseñas y datos secretos desde una computadora que no tiene conexión de red y está infectada con software espía o malware.
Sobre AIR-FI
Los investigadores lograron alcanzar una tasa de transferencia de 100 bits por segundo colocando receptores Wi-Fi, como un teléfono inteligente o una computadora portátil, a una distancia de 180 cm. La tasa de error de transmisión fue del 8,75%, pero se utilizaron códigos de corrección de errores para identificar y corregir las fallas de transmisión.
Para organizar un canal de transferencia de datos, basta con iniciar un proceso de usuario normal, que se puede ejecutar en una máquina virtual. Para la recepción, se requiere un dispositivo con un chip inalámbrico capaz de realizar un monitoreo de bajo nivel del aire (en el experimento, se usaron adaptadores inalámbricos basados en chips Atheros AR92xx y AR93xx con firmware modificado que transmiten información sobre los parámetros de la señal adecuados para el análisis espectral).
Al generar una señal, se utilizó la capacidad de la memoria DDR4-2400 que opera a una frecuencia de 2400 MHz para generar interferencia electromagnética cuando el controlador accede al módulo de memoria a través de diferentes buses de datos.
El rango de Wi-Fi cae en las frecuencias 2.400-2.490 GHz, es decir, se cruza con la frecuencia a la que opera la memoria.
Los investigadores han descubierto que con un tráfico intensivo simultáneo en diferentes buses de datos, se emiten ondas electromagnéticas a una frecuencia de 2,44 Ghz, que son capturadas por la pila inalámbrica 802.11.
Con módulos de memoria que no sean DDR4-2400, el método es aplicable cuando se cambia mediante programación la frecuencia de la memoria, lo cual está permitido en la especificación XMP ( Extreme Memory Profile ).
Para generar una señal, se utilizó un acceso simultáneo al bus desde subprocesos de ejecución paralelos atados a diferentes núcleos de CPU. La codificación de información útil en la señal se lleva a cabo utilizando la modulación OOK más simple (codificación on-off) con modulación por desplazamiento de amplitud (ASK), en la que «0» y «1» se codifican estableciendo diferentes amplitudes de señal, y la información se transmite a una velocidad fija. – un bit por milisegundo.
La transferencia «1» realiza una serie de escrituras de memoria causadas por la copia secuencial de 1 MB de datos entre las dos matrices. Al transmitir «0», el algoritmo no realiza ninguna acción durante el tiempo asignado para transmitir un bit. Por lo tanto, la transmisión de «1» genera la emisión de señal, y la transmisión de «0» la señal desaparece.
Entre las medidas para contrarrestar el uso del método AIR-FI, se menciona la zonificación del territorio con la creación de un perímetro en la organización, dentro del cual se prohíbe llevar equipos con chips inalámbricos, así como colocar la carcasa de la computadora en una jaula de Faraday, generando ruido en las frecuencias de Wi-Fi, iniciando procesos en segundo plano que se realizan de forma aleatoria de operaciones de memoria y monitoreo de la aparición en el sistema de procesos sospechosos que realizan operaciones de memoria anormales.
Además, en la página de los investigadores, se forma una selección de los métodos de transmisión de datos ocultos que identificaron utilizando formas de fugas electromagnéticas, acústicas, térmicas y ligeras:
- PowerHammer: organiza el envío de datos a través de la línea eléctrica, manipula la carga en la CPU para cambiar el consumo de energía.ODINI: demostraciones de extracción de datos de un dispositivo ubicado en una habitación blindada (jaula de Faraday) mediante el análisis de oscilaciones magnéticas de baja frecuencia que ocurren durante el funcionamiento de la CPU.
- MAGNETO:extracción de datos basada en la medición de las fluctuaciones del campo magnético que ocurren durante el funcionamiento de la CPU.
- AirHopper: transferencia de datos a una velocidad de hasta 60 bytes por segundo desde una PC a un teléfono inteligente a través del análisis en un teléfono inteligente con un sintonizador de FM de la interferencia de radio que ocurre cuando la información se muestra en la pantalla.
- BitWhisper: transferencia de datos a una distancia de hasta 40 cm a una velocidad de 1-8 bits por hora mediante la medición de fluctuaciones en la temperatura de la carcasa de la PC.
- GSMem: extracción de datos a una distancia de hasta 30 metros mediante la creación de interferencias electromagnéticas en la frecuencia de las redes GSM capturadas por el teléfono inteligente.
Fuente: https://cyber.bgu.ac.il