Brückenbau: LAN-Kabel als Antenne überwindet Air-Gaps
Ein LAN-Kabel lässt sich dazu missbrauchen, Daten auszuleiten. Der Neuste in einer langen Reihe von Seitenkanal-Angriffen auf durch Air-Gap geschützte Systeme.
- Fabian A. Scherschel
Forscher der Ben-Gurion-Universität in Israel haben mal wieder eine neue Methode entdeckt, um Daten aus Computern auszuleiten, die nicht mit einem Netzwerk verbunden sind. Diesmal machen sie das zwar über ein Netzwerkkabel – aber nicht so, wie man es erwarten würde.
Beim Absichern von besonders kritischen Computer-Systemen bedient man sich oft eines sogenannten Air-Gaps, zu deutsch eines Luftspalts: Wenn Systeme nicht mit anderen Computern verbunden sind, können sie auch nicht angegriffen und ihre Daten ausgelesen werden. Solche Air-Gaps lassen sich allerdings überwinden, eine Spezialität der Ben-Gurion-Forscher. In einer neuen Forschungsarbeit zeigt Dr. Mordechai Guri, Forschungschef des Cyber-Forschungszentrums der Uni, wie man das bewerkstelligen kann, in dem man das LAN-Kabel eines Rechners zur Antenne macht.
Die Forschungsarbeit von Dr. Guri beschreibt Schadcode, der auf dem Rechner gezielt Netzwerkverkehr erzeugt. Dieser kann mit normalen Nutzerrechten ausgeführt werden und funktioniert auch von virtuellen Maschinen aus. Wandert der so erzeugte und auf bestimmte Weise formatierte Traffic über ein Netzwerkkabel, ruft dies elektromagnetische Felder hervor, die man über eine Entfernung von einigen Metern mit einer entsprechend guten Antenne und einem Funkgerät, etwa mit Software-Defined-Radio-Technik auf einem Computer, empfangen kann. Wie weit entfernt diese Signale empfangen werden können, hängt so wohl von der Art der eingesetzten Empfänger-Antenne als auch von der Art des LAN-Kabels am trojanisierten Computer ab, welches als Sende-Antenne fungiert. Dabei spielt sowohl die Länge des LAN-Kabels eine Rolle als auch dessen Übertragungsgeschwindigkeit und Abschirmung, die mit der Kabel-Kategorie (CAT-Standard) variieren. Mit einem CAT6-Ethernet-Kabel erzeugte der Forscher elektromagnetische Signale im Bereich von 125 MHz, die 2 Meter entfernt empfangen werden konnten.
Der beschriebene Angriff ist in seinen Einsatzmöglichkeiten freilich relativ begrenzt. Zu aller erst muss der angegriffene Computer bereits mit einem Netzwerk verbunden sein; den Air-Gap postulieren die Forscher also für ein ganzes Netz von miteinander verbundenen Computern. Außerdem scheint die Reichweite des Angriffes extrem begrenzt zu sein, obwohl sich dies höchstwahrscheinlich durch Verbesserungen bei der Empfangstechnik optimieren lässt. Ebenso vergrößern schlechter abgeschirmte und längere LAN-Kabel die Reichweite des Angriffs, weil somit eine bessere Sende-Antenne zur Verfügung steht.
Überall Lücken im Air-Gap
In der Vergangenheit haben Dr. Guri und seine Kollegen an der Ben-Gurion-Universität neben Netzwekkabeln auch schon USB-Kabel und Monitor-Kabel als Sendeantennen für ähnliche Angriffe verwendet. Außerdem haben sie gezeigt, wie man Daten über die Geräusche von Festplatten, die Temperaturschwankungen eines PC-Systems und an den Rechner angeschlossene Kopfhörer ausleiten kann. Besonders spannend war auch ihr Angriff mit laserbewehrten Drohnen, die einen Flachbett-Scanner hacken. Und sie nutzten bereits Glühbirnen, um Gespräche abzuhören.
Angesichts der großen Anzahl von kreativen Angriffen auf Air-Gaps allein aus Israel, sollten Sicherheitsverantwortliche für kritische IT-Infrastruktur aufhorchen. Die Trennung von Systemen oder ganzen Netzwerken per Air-Gap gilt weithin als höchstes Maß an Sicherheit. So fordert zum Beispiel gerade die indische Regierung in neuen Sicherheits-Richtlinien für den Energie-Sektor einen echten Air-Gap, statt Trennung durch Software- oder Hardware-Firewalls, zwischen Steuersystemen und Rechnern, die mit dem Internet verbunden sind. Wie die Forschungsarbeit aus Israel zeigt, schützt das aber eventuell trotzdem nicht davor, dass ein gut ausgestatteter Angreifer wenigstens Daten auslesen kann.
(fab)