Ethernet y transmisión inalámbrica de datos: ¿cuáles son los riesgos?

0
47
Custom Text

¿Es posible transmitir datos de forma inalámbrica a través de una red cableada? ¿Y qué riesgos pueden correr las empresas? Kaspersky informa sobre algunos experimentos que ha realizado y da algunos consejos sobre cómo protegerse.

En el Congreso de Comunicación del Caos a finales del año pasado, el investigador y radioaficionado Jacek Lipkowski presentó los resultados de sus experimentos sobre la filtración de datos de una red aislada a través de la radiación electromagnética de fondo generada por el equipo de la red. La presentación de Lipkowski puede ser la más reciente, pero ciertamente no es la única: de hecho se están descubriendo con inquietante regularidad nuevos métodos de filtración de la información de las computadoras y redes con brecha de aire, y los expertos de Kaspersky querían investigar el asunto.

Cualquier cable puede funcionar como una antena, y los ciberdelincuentes que se infiltran en una red aislada y ejecutan su código podrían, en teoría, utilizar una antena improvisada para transmitir datos al mundo exterior; todo lo que se necesitaría es modular la radiación a través de un software.

Lipkowski decidió probar si las redes convencionales de Ethernet podían realmente ser utilizadas para la transmisión de datos. Especifiquemos de inmediato: para sus experimentos, el investigador usó principalmente un Raspberry Pi 4 modelo B, pero dijo que los resultados son ciertamente reproducibles usando otros dispositivos conectados a Ethernet, o al menos incrustados. Para transmitir los datos usó código Morse; no es el método más eficiente, pero es fácil de implementar. Cualquier radioaficionado, de hecho, puede recibir la señal con una radio y descifrar el mensaje escuchándolo, por lo que el código Morse es una excelente opción para demostrar la vulnerabilidad, que el autor ha bautizado como Eterify.

Experimento 1: modulación de frecuencia
Los controladores modernos de Ethernet utilizan la llamada Interfaz Independiente de Medios (MII) estandarizada. El MII implica la transmisión de datos a diversas frecuencias en función del ancho de banda: 2,5 MHz a 10 Mbit/s, 25 MHz a 100 Mbit/s y 125 MHz a 1 Gbit/s. Al mismo tiempo, los dispositivos de la red permiten cambiar el ancho de banda, generando las correspondientes variaciones de frecuencia.

Las frecuencias de transmisión de datos, que generan diferentes radiaciones electromagnéticas del cable, son los «interruptores» que permiten la modulación de la señal. Un simple guión (con 10 Mbit/s como interferencia 0 y 100 Mbit/s como interferencia 1, por ejemplo), puede hacer que el controlador de la red transmita datos a una cierta velocidad, generando así esencialmente los puntos y guiones del código Morse, que un receptor de radio puede capturar fácilmente hasta 100 metros de distancia.

Experimento 2: Transferencia de datos
Cambiar la velocidad de los datos no es la única forma de modular una señal. Otra técnica emplea cambios en la radiación de fondo del equipo de la red en funcionamiento. El malware en un ordenador aislado podría, por ejemplo, utilizar la utilidad de red estándar para comprobar la integridad de la conexión (ping -f) y cargar datos en el canal. Las interrupciones de transferencia y las imágenes serán audibles hasta 30 metros de distancia.

Experimento 3: sin necesidad de un cable
El tercer experimento no estaba planeado, sin embargo los resultados resultaron ser interesantes. Durante la primera prueba, Lipkowski olvidó conectar un cable al dispositivo de transmisión, pero aún así pudo oír el cambio en la velocidad de datos del controlador desde unos 50 metros de distancia. Esto significa que, en principio, los datos pueden ser transferidos desde una máquina aislada siempre que la máquina tenga un controlador de red, independientemente de que esté o no conectada a una red. La mayoría de las placas madre modernas tienen un controlador Ethernet.

¿Cuáles son los riesgos?
Contrariamente a la creencia popular, las redes aisladas que subyacen a las brechas de aire se utilizan no sólo en laboratorios de alto secreto e infraestructura crítica, sino también en empresas normales, que a menudo utilizan dispositivos aislados como módulos de seguridad de hardware (para gestión de claves digitales, cifrado y descifrado de firmas digitales u otras necesidades similares) o estaciones de trabajo aisladas dedicadas (como las Certificate Authority o CA). Si su empresa utiliza estos sistemas, tenga en cuenta el riesgo potencial de fugas de información de los sistemas air gapped.

Dicho esto, Lipkowski usó un receptor USB casero bastante barato. Los ciberdelincuentes que disponen de recursos importantes probablemente puedan permitirse un equipo más sensible, lo que aumenta el alcance de la recepción. En cuanto a las medidas prácticas para proteger su negocio de tales fugas de datos, Kaspersky proporciona algunos consejos obvios:

1)Implementar la zonificación y la vigilancia del perímetro. Cuanto más se acerque un potencial ciberdelincuente a las salas que contienen redes o dispositivos aislados, más probabilidades hay de que intercepten las señales
2)Usar metal para cubrir cualquier habitación donde se almacene equipo crítico, creando una jaula de Faraday para protegerlo
3)Apantallar los cables de la red. Aunque teóricamente no es una solución perfecta, los cables de apantallamiento deberían reducir en gran medida el área donde se pueden recibir las variaciones de las fluctuaciones electromagnéticas. En combinación con la zonificación, puede ofrecer suficiente protección
4)Instalar soluciones para la vigilancia de procesos sospechosos en sistemas aislados. Después de todo, los ciberdelincuentes deben infectar un ordenador antes de poder transmitir datos al mundo exterior. Con la ayuda de un software dedicado, puede asegurarse de que los sistemas críticos permanezcan libres de malware

Redacción Cambio Digital OnLine

Artículo anteriorGM Sectec entre las mejores empresas de ciberseguridad en el mundo
Artículo siguienteIntel acelera la producción de su chip de 10 nanómetros