Het isoleren van systemen moet de beveiliging daarvan verhogen. Airgappen is de ultieme vorm van isolatie voor werkende computers, maar deze methode blijkt ook niet heiligmakend. Harde schijfgeluid is één van de verraders.
De beveiligingsvoordelen van isolatie gelden op vele niveaus, die uiteenlopen van webpagina’s en bijvoorbeeld flash-elementen daarop, tot apps, databases en complete computers. Het ontkoppelen van computers met kritieke toepassingen van algemeen toegankelijke netwerken wordt airgappen genoemd. Er is geen firewall, securitypakket of andere bescherming die dan zelf weer een doelwit wordt. Er is simpelweg een gat gevuld met lucht.
Stuxnet-infectie
Succesvolle aanvallers van dergelijke ict-systemen zouden met airgaps over moeten gaan tot ‘ouderwetse’ methodes, zoals fysieke inbraak of een handlanger ter plaatse. Laatstgenoemde optie hoeft niet eens een bewust medeplichtige te zijn. De klassieke truc van een besmette usb-stick kan een airgap overbruggen. Dit is bijvoorbeeld jaren terug al gebeurd bij de geruchtmakende sabotage van de Iraanse uraniumverrijkingscentrale in Natanz. De geavanceerde Stuxnet-worm is specifiek ontworpen om airgaps te verslaan.
Toch leeft de ooit geruststellende gedachte nog wel dat airgaps een bescherming zijn voor kritieke systemen, zoals bijvoorbeeld industriële apparatuur. Kenners weten allang dat dit een mythe is. In de loop der tijd zijn er verschillende ingenieuze en ook complexe manieren bedacht om airgaps te overkomen. Bovendien leidt het – misplaatste – vertrouwen in airgaps er soms toe dat er verder geen of gebrekkige beveiligingsmaatregelen zijn getroffen op de geïsoleerde systemen.
HDD-geluid
Deze zomer is er een nieuwe aanvalsmethode geopenbaard om de bescherming van airgaps teniet te doen. Onderzoekers aan de Israëlische Ben Gurion-universiteit weten het geluid van harde schijven letterlijk af te luisteren. Zij hebben hun airgap-overbrugging uitgewerkt en zelfs werkende malware gemaakt. De methode is Diskfiltration gedoopt en gebruikt de acoustische signalen van een harde schijf die in gebruik is. Een computer die geïsoleerd is van een netwerk waar aanvallers wel toegang toe hebben, valt zo toch te hacken.
Voor een complete aanval waarbij gevoelige data wordt buitgemaakt, is eerst nog wel infectie van de geïsoleerde computer nodig. Vervolgens kan de Diskfiltration-malware de harde schijf dusdanig manipuleren dat die geluidssignalen afgeeft die opgevangen kan worden door bijbehorende malware op non-airgapped systemen. Deze luisterende handlanger moet dan wel dicht in de buurt staan.
Langzaam maar zeker
De exfiltratie van data kan wachtwoorden, encryptiesleutels en andere gevoelige gegevens bevatten. De techniek heeft een bereik van net geen twee meter zes6 feet) en haalt een schamele datadoorvoersnelheid van 180 bits per minuut. Dat is echter afdoende om bijvoorbeeld een 4096-bit encryptiesleutel in zo’n 25 minuten buit te maken, rekent technieuwssite Ars Technica voor. De Israëlische onderzoekers hebben Diskfiltration ook werkend geshowd en die demonstratie op Youtube gezet.
Daarbij hebben ze de geïsoleerde pc niet alleen ontdaan van netwerkaansluiting (inclusief Wi-Fi), Bluetooth-connectiviteit en luidsprekers of biod-speakertje. De koelingsfans van de airgapped-pc zijn ook aan banden gelegd wat de dynamische aansturing daarvan betreft. Waarom de interne fans op een vast toerental zijn gezet? Omdat deze zelfde onderzoekers eerder dit jaar al met Fansmitter zijn gekomen: een aanval om het geluid van koelingsventilatoren te benutten voor de diefstal van data.
Hitte, radio, licht, CRT-straling
Daarnaast zijn er nog airgap-overbruggende methodes die hitte-afgifte, radiofrequenties of geluidsgolven (inclusief onhoorbaar geluid) gebruiken. Of lichtpulsen van een gehackte scanner of all-in-one. Overigens kent deze vorm van hacken op afstand een flinke voorgeschiedenis met het ‘afluisteren’ van crt-monitoren middels Tempest-methodes die teruggaan naar de NSA in de jaren tachtig en de Nederlandse computerwetenschapper Wim van Eck. De toegankelijkheid, het gebruiksgemak en de effectiviteit van technieken voor airgap-overbrugging nemen echter toe.
Dat zou dan simpel te corrigeren zijn door bijv. een SSD te gebruiken als harde schijf in een airgapped computer.
Slimme jongen die daar de leeskop of schijfmotor van kan laten bewegen.