Ak nainštalované RAM moduly nemajú požadovanú frekvenciu, hacker ich vie iným malvérom pretaktovať.

Bezpečnostný výskumník Mordechai Guri z izraelskej univerzity BGU úspešne demonštroval a popísal nový typ útoku s názvom Air-Fi. Ide o koncept, pri ktorom dokáže útočník bezdrôtovo odoslať dáta z úplne izolovaného počítača bez akéhokoľvek sieťového vybavenia. Demonštroval, že ako vysielače Wi-Fi signálu v napadnutom počítači môžu slúžiť aj moduly operačnej pamäte RAM. Téme sa venoval web Gizmodo.

Ako sme spomenuli, výskumník ukázal, že dáta sa dajú „kradnúť“ a odosielať na Wi-Fi frekvenciách aj z počítačov, ktoré nie sú vybavené žiadnym Wi-Fi hardvérom. Pre hackerov by išlo o veľkú výhodu. Popísanou technikou totiž teoreticky môžu útočníci napadnúť akýkoľvek počítač, aj bez pripojenia k internetu.

V takom prípade bývajú cieľmi zväčša chránené zariadenia a desktopy s citlivými informáciami. Zbavené sú sieťového hardvéru z bezpečnostných dôvodov, keďže ide o najjednoduchšiu a najefektívnejšiu prevenciu pred kybernetickými útokmi. Ak by sa do takéhoto počítača nejakým spôsobom dostal tradičný malvér, veľa škody by nenapáchal – bez internetového pripojenia nedokáže prijímať príkazy zo servera a ani odoslať ukradnuté dáta.

Praktická ukážka útoku Air-Fi na počítač odpojený od siete

Ako prebieha útok Air-Fi?

Útok Air-Fi je veľmi zaujímavý, najmä z technologického hľadiska. V praxi sa ho ale zrejme veľmi obávať netreba. Prvou podmienkou totiž je, že hacker musí mať k danému izolovanému počítaču obete fyzický prístup – potrebuje doň nainštalovať vysielací softvér. Ten môže odosielať súbory uložené na pevnom disku či povedzme zaznamenávať a vysielať stlačené klávesy.

„Výhodou“ pre hackerov je, že na samotné vysielanie dát pomocou pamäťových modulov RAM nepotrebujú v počítači žiadne špeciálne povolenia (roota, administrátora) ani prístup k jadru operačného systému. Robiť to môže program s právami štandardného používateľa, dokonca tiež z virtualizovaného prostredia (sandboxu, VM).

Signál sa dá prijímať akýmkoľvek WiFi zariadením, ktoré podporuje požadované funkcie. Útok ďalej nevyužíva žiadnu konkrétnu zraniteľnosť ani vlastnosť operačného systému. Výskumník útok konkrétne demonštroval na počítači s linuxovou distribúciou Ubuntu.

Vysielací program nerobí nič iné, len zapisuje alebo nezapisuje do pamäte RAM. Iba kopíruje dva vybrané bloky s veľkosťou 1 MB tam a späť. Nie je dôležité, aké dáta kopíruje, alebo to, kde sú v pamäti umiestnené. Žiadna činnosť reprezentuje binárnu 0, zapisovanie naopak znamená binárnu 1. Každý bit má pritom vopred dané trvanie.

Záznam signálu vysielaného RAM modulom. Signál síce nie je veľmi silný, no jednotlivé dátové bity sú ľahko odlíšiteľné od šumu na pozadí. Žltozelený signál predstavuje binárnu 1, modrá medzera zase binárnu 0.

Bezpečnostný výskumník totiž zistil, že bežné RAM pamäte vysielajú síce slabý, no predsa merateľný elektromagnetický signál na rovnakej frekvencii, na akú sú v počítači taktované. RAM modul taktovaný na 2400 MHz (2,4 GHz) tak vysiela v rovnakom frekvenčnom pásme, aké na komunikáciu využíva technológia WiFi.

Vo svojej štúdii ďalej autor poukazuje na to, že v prípade pamätí RAM s inou frekvenciou môže byť útok Air-Fi skombinovaný s iným malvérom, ktorý dokáže upraviť nastavenia BIOSu v počítači. Tak by sa dala pamäť pretaktovať na správnu frekvenciu. Dodáva, že v minulosti už boli objavené počítačové vírusy, ktoré dokázali manipulovať s nastaveniami BIOSu.

Žiadna viditeľná Wi-Fi sieť

Neznamená to však, že pomocou nastavení telefónu nájdete Wi-Fi sieť vytvorenú RAM pamäťou vo vašom počítači. Ak ale máte k dispozícii Wi-Fi prijímač, ktorý dokážete naozaj podrobne ovládať, signál z RAM pamäte dokážete zachytiť a rozpoznať jednotlivé prenášané bity.

Na jednej strane to síce celý útok komplikuje, no zároveň to znamená, že bez špeciálneho vybavenia sa signál detegovať nedá. Obeť tak nemá spôsob, akým by sa o toku dát zo svojho počítača dozvedela.

Na záver dodajme, že bežní používatelia sa podobného útoku obávať nemusia. Pre hackerov je oveľa jednoduchšie napadnúť počítač obete cez internet. Pozor preto treba dávať najmä na softvér, aký do svojho počítača inštalujete.

Bližšie informácie o útoku nájdete v spomenutej štúdii na webe arXiv.

Zdroj: Mordechai Guri, Ben-Gurion University of the Negev, Izrael