COVID-bit è l’appellativo di un attacco informatico non convenzionale ai danni delle reti protette, note in gergo come air-gap.
Sfruttando le onde radio emesse dalla CPU dei dispositivi, questa minaccia è in grado di esfiltrare dati sensibili e trasmetterli ad un ricevitore nelle vicinanze.

- Covid-bit: contesto e origini
- Covid-bit: cosa significa attacco covert channel sui sistemi air-gap
- Attacco Covid-bit, come funziona in concreto
- Covid-bit: esfiltrazione dati in tempo reale
- Trasmettitori, ricevitori e programmi utilizzati nel Covid-bit
- Covid-bit: possibili contromisure
Covid-bit: contesto e origini
Covid-bit è una tecnica di attacco covert channel, sviluppata nell’ultimo anno dai ricercatori israeliani del Department of Software and Information Systems Engineering dell’Università Ben-Gurion.
Gli esperti del centro di ricerca, guidati dal Dr. Mordechai Guri, indagano regolarmente sui problemi di sicurezza relativi alle cosiddette reti air-gap.
Nel corso degli anni, infatti, hanno portato alla luce diversi stratagemmi tramite i quali è possibile eludere tali sistemi di sicurezza.
Possiamo ricordare ad esempio:
- il Gairoscope, metodo per trasformare il chip di un telefono cellulare in un basilare microfono
- la Lantenna, ovvero la creazione di antenne radio tramite l’utilizzo di cavi di rete cablati
- o il Fansmitter, metodologia che varia la velocità della ventola della CPU modificando il carico del sistema per creare un “canale dati” audio.
Questa volta i ricercatori hanno conferito alla loro tecnologia una denominazione a doppia valenza.
Da un lato, infatti, il termine COVID-bit riecheggia quello del virus Covid-19, dall’altro rappresenta l’acronimo tecnico di “Covert information disclosure bit-by-bit”.
Difatti, l’attaccante deve trovarsi a non più di due metri di distanza dal suo bersaglio: elemento che, per analogia, ha portato ad associarne l’appellativo al virus che ha imperversato negli ultimi due anni.
Ma, prima di analizzarne in dettaglio il funzionamento, facciamo un passo indietro e vediamo cosa si intende per
- sistemi air-gap
- e attacchi covert channel.
Covid-bit: cosa significa attacco covert channel sui sistemi air-gap
L’espressione air-gap, in cybersecurity, fa riferimento ad un sistema protettivo che isola fisicamente un dispositivo da qualsiasi altro collegamento con il mondo esterno.
Si tratta di una sorta di un “vuoto d’aria” che viene creato tra il device – o la rete di device – e il network circostante.
E’ una tecnica utilizzata per rendere inaccessibili sistemi e reti in cui il livello di riservatezza dei dati deve mantenersi sensibilmente elevato.
Viene applicata di norma su
- sistemi di controllo di aziende ed industrie
- reti miliari
- oppure network che processano pagamenti con carte di credito e bancomat
In tal modo, si presume che gli hacker siano fisicamente impossibilitati a penetrare all’interno di computer e reti.
Purtroppo, le ricerche hanno confermato che anche questa soluzione apparentemente impenetrabile non è esonerata da notevoli rischi di sicurezza.
Covid-bit ne è un chiaro esempio poiché, come vedremo, si avvale di onde elettromagnetiche per esfiltrare i dati in inserimento sui dispositivi.
Questa tipologia di attacchi si avvale dei cosiddetti covert channel, ovvero dei canali segreti e difficilmente individuabili, che
- penetrano nel sistema protetto
- e creano un ponte di comunicazione e scambio dati verso un altro dispositivo non autorizzato.
Attacco Covid-bit, come funziona in concreto
Messe in chiaro queste definizioni di base, passiamo ad analizzare in dettaglio il sistema d’attacco COVID-bit.
La procedura sperimentale si avvale di:
- una rete isolata (air-gap, appunto) appositamente implementata
- un codice malware e piccole antenne installate su una workstation del sistema.
Trasformata in ricevitore, quest’ultima è in grado di
- catturare i segnali a bassa frequenza delle onde radio (nella banda 0-60 kHz) emesse dalla CPU di un altro dispositivo appartenente alla rete protetta
- codificarle in dati binari
- e assorbire al proprio interno i dati sensibili in inserimento, aggirando così il sistema di protezione
In parole semplici, questa tecnica permette di intercettare ciò che una persona digita su una tastiera.
Analizzando, infatti, i cambiamenti dello spettro radio generato dalla tastiera attiva, si riescono ad ottenere, con un alto livello di accuratezza, i dati inseriti.
Covid-bit: esfiltrazione dati in tempo reale
Grazie a Covid-bit, la velocità di esfiltrazione dei dati è quasi istantanea.
Lo studio dimostra infatti che informazioni sensibili, come ad esempio:
possano essere modulati, inviati e ricevuti anche da un semplice telefono cellulare ad una velocità massima di 1000 bit/sec.
L’esfiltrazione di indirizzi IP e MAC richiede, invece, tra 0,1 e 16 secondi, a seconda della velocità dei dati.
Queste rilevazioni rendono estremamente evidente che, in uno scenario realistico, al malintenzionato basterebbe qualche decimo di secondo per sottrarre dati e informazioni altamente riservati.
Trasmettitori, ricevitori e programmi utilizzati nel Covid-bit
Nel corso della ricerca, per la simulazione d’attacco sono stati impiegati come trasmettitori:
- 3 diverse workstation
- un laptop
- e un Raspberry Pi 3, abbinato a una piattaforma di programmazione che ha le funzioni di una scheda madre.
Come ricevitori sono stati, invece, utilizzati
- un laptop
- e uno smartphone.
Per gestire la sincronizzazione e delineare il processo di generazione dei segnali, effettuata ad una frequenza specifica e ad intervalli regolari, sono stati studiati degli algoritmi per implementare un programma transmitter per sistemi operativi Ubuntu di Linux.
Infine, come ricevitori, responsabili di
- campionamento
- elaborazione
- e demodulazione dei dati
sono stati attivati:
Covid-bit: possibili contromisure
Secondo gli articoli dello stesso Dr.Guri diverse sarebbero le contromisure difensive da adottare contro il canale nascosto studiato da lui e dal suo team.
A livello di prevenzione primaria, l’esperto suggerisce di vietare l’uso di telefoni cellulari nell’area protetta e non lasciare che il personale o i visitatori esterni si avvicinino a meno di 2 m dalle apparecchiature, anche se c’è un muro di mezzo
Una soluzione di questo tipo sarebbe però poco rilevante in attacchi in cui sono coinvolti insider e/o hardware non autorizzati già installati.
Come seconda linea guida pratica, viene indicato di utilizzare una gabbia di Faraday per prevenire emissioni elettromagnetiche.
Tuttavia, questo approccio potrebbe risultare costoso e poco pratico su larga scala.
Anche monitorare o disturbare i segnali nello spettro 0-60 kHz potrebbe rivelarsi una soluzione sterile e portare solo ad una mitigazione dei rischi.
Tra le attenzioni a livello quotidiano invece, si può tentare di prevenire la compromissione dei propri dati eseguendo un’analisi dinamica dei thread al fine di:
-
- rilevare eventuali comportamenti sospetti
- e avviare carichi di lavoro casuali sui processori della CPU
quando si ha il sospetto di un’attività anomala.
Infatti, l’esecuzione di processi casuali su dispositivi sicuri aggiunge un rumore radio imprevedibile ai segnali nascosti, rendendoli più difficili da rilevare e decodificare.
Infine, si potrebbe prendere in considerazione il blocco della frequenza della CPU. Tuttavia, Guri ha scoperto che questa mossa limita solo il raggio d’azione dell’attacco e non lo elimina del tutto.
In conclusione, è affascinante scoprire come il mondo della cybersecurity sia dinamico ed alla continua ricerca di nuove soluzioni per contrastare il lavoro dei cybercriminali.
E lo fa non limitandosi soltanto a sviluppare nuovi software di sicurezza, ma anche escogitando attacchi contro infrastrutture apparentemente inespugnabili.
- Autore articolo
- Ultimi articoli

Sono CTO, socio della società Onorato Informatica e il Direttore del Security Operations Center.
Aiuto le imprese e i professionisti a progettare e implementare servizi di sicurezza informatica e a difendersi dagli attacchi informatici di hacker e virus.
Da oltre vent’anni mi occupo di linguaggi di programmazione: C, C++, C#, VB.NET, HTML, PHP e JAVA. Dirigo lo sviluppo e la gestione soluzioni di sicurezza informatica per aziende e enti tramite servizi di Web Security, Network Security, Anti-DDoS, Intrusion Prevention Systems, Perimeter Security, Network Segmentation, Security Information and Event Management, Threat and Vulnerability Management.
A differenza delle classiche soluzioni di sicurezza informatica, noi lavoriamo con servizi sviluppati internamente ad alte performance; utilizziamo solo tecnologie esclusive e certificate.
Inoltre, negli ultimi 10 anni ci siamo specializzati nella pianificazione, progettazione e implementazione dei servizi di Vulnerability Assessment e Penetration Test di sistemi e infrastrutture, comprese WebApp, Mobile e IoT.