COVID-bit è l’appellativo di un attacco informatico non convenzionale ai danni delle reti protette, note in gergo come air-gap.

Sfruttando le onde radio emesse dalla CPU dei dispositivi, questa minaccia è in grado di esfiltrare dati sensibili  e trasmetterli ad un ricevitore nelle vicinanze.

covid bit analisi del cyber attacco
  1. Covid-bit: contesto e origini
  2. Covid-bit: cosa significa attacco covert channel sui sistemi air-gap
  3. Attacco Covid-bit, come funziona in concreto
  4. Covid-bit: esfiltrazione dati in tempo reale
  5. Trasmettitori, ricevitori e programmi utilizzati nel Covid-bit
  6. Covid-bit: possibili contromisure

Covid-bit: contesto e origini

Covid-bit è una tecnica di attacco covert channel, sviluppata nell’ultimo anno dai ricercatori israeliani del Department of Software and Information Systems Engineering dell’Università Ben-Gurion.

Gli esperti del centro di ricerca, guidati dal Dr. Mordechai Guri, indagano regolarmente sui problemi di sicurezza relativi alle cosiddette reti air-gap.

Nel corso degli anni, infatti,  hanno portato alla luce diversi stratagemmi tramite i quali è possibile eludere tali sistemi di sicurezza.

Possiamo ricordare ad esempio:

  • il Gairoscope, metodo per trasformare il chip di un telefono cellulare in un basilare microfono
  • la Lantenna, ovvero la creazione di antenne radio tramite l’utilizzo di cavi di rete cablati
  • o il Fansmitter, metodologia che varia la velocità della ventola della CPU modificando il carico del sistema per creare un “canale dati” audio.

Questa volta i ricercatori hanno conferito alla loro tecnologia una denominazione a doppia valenza.

Da un lato, infatti, il termine COVID-bit riecheggia quello del virus Covid-19, dall’altro rappresenta l’acronimo tecnico di “Covert information disclosure bit-by-bit”.

Difatti, l’attaccante deve trovarsi a non più di due metri di distanza dal suo bersaglio: elemento che, per analogia, ha portato ad associarne l’appellativo al virus che ha imperversato negli ultimi due anni.

Ma, prima di analizzarne in dettaglio il funzionamento, facciamo un passo indietro e vediamo cosa si intende per

  • sistemi air-gap
  • e attacchi covert channel.

Covid-bit: cosa significa attacco covert channel sui sistemi air-gap

L’espressione air-gap, in cybersecurity, fa riferimento ad un sistema protettivo che isola fisicamente un dispositivo da qualsiasi altro collegamento con il mondo esterno.

Si tratta di una sorta di un “vuoto d’aria” che viene creato tra il device – o la rete di device – e il network circostante.

E’  una tecnica utilizzata per rendere inaccessibili sistemi e reti in cui il livello di riservatezza dei dati  deve mantenersi sensibilmente elevato.

Viene applicata di norma su

  • sistemi di controllo di aziende ed industrie
  • reti miliari
  • oppure network che processano pagamenti con carte di credito e bancomat

In tal  modo, si presume che gli hacker siano fisicamente impossibilitati a penetrare all’interno di computer e reti.

Purtroppo, le ricerche hanno confermato che anche questa soluzione apparentemente impenetrabile non è esonerata da notevoli rischi di sicurezza.

Covid-bit ne è un chiaro esempio poiché, come vedremo, si avvale di onde elettromagnetiche per esfiltrare i dati in inserimento sui dispositivi.

Questa tipologia di attacchi si avvale dei cosiddetti covert channel, ovvero dei canali segreti e difficilmente individuabili, che

  • penetrano nel sistema protetto
  • e creano un ponte di comunicazione e scambio dati verso un altro dispositivo non autorizzato.

Attacco Covid-bit, come funziona in concreto

Messe in chiaro queste definizioni di base, passiamo ad analizzare in dettaglio il sistema d’attacco COVID-bit.

La procedura sperimentale si avvale di:

  • una rete isolata (air-gap, appunto) appositamente implementata
  • un codice malware e piccole antenne installate su una workstation del sistema.

Trasformata in ricevitore, quest’ultima è in grado di

  • catturare i segnali a bassa frequenza delle onde radio (nella banda 0-60 kHz) emesse dalla CPU di un altro dispositivo appartenente alla rete protetta
  • codificarle in dati binari
  • e assorbire al proprio interno i dati sensibili in inserimento, aggirando così il sistema di protezione

In parole semplici, questa tecnica permette di intercettare ciò che una persona digita su una tastiera.

Analizzando, infatti, i cambiamenti dello spettro radio  generato dalla tastiera attiva, si riescono ad ottenere, con un alto livello di accuratezza, i dati inseriti.

Covid-bit: esfiltrazione dati in tempo reale

Grazie a Covid-bit, la velocità di esfiltrazione dei dati è quasi istantanea.

Lo studio dimostra infatti che informazioni sensibili, come ad esempio:

possano essere modulati, inviati e ricevuti anche da un semplice telefono cellulare ad una velocità massima di 1000 bit/sec.

L’esfiltrazione di indirizzi IP e MAC richiede, invece, tra 0,1 e 16 secondi, a seconda della velocità dei dati.

Queste rilevazioni rendono estremamente evidente che, in uno scenario realistico, al malintenzionato basterebbe qualche decimo di secondo per sottrarre dati e informazioni altamente riservati.

Trasmettitori, ricevitori e programmi utilizzati nel Covid-bit

Nel corso della ricerca, per la simulazione d’attacco sono stati impiegati come trasmettitori:

  • 3 diverse workstation
  • un laptop
  • e un Raspberry Pi 3, abbinato a una piattaforma di programmazione che ha le funzioni di una scheda madre.

Come ricevitori sono stati, invece, utilizzati

  • un laptop
  • e uno smartphone.

Per gestire la sincronizzazione e delineare il processo di generazione dei segnali, effettuata ad una frequenza specifica e ad intervalli regolari, sono stati studiati degli algoritmi per implementare un programma transmitter per sistemi operativi Ubuntu di Linux.

Infine, come ricevitori, responsabili di

  • campionamento
  • elaborazione
  • e demodulazione dei dati

sono stati attivati:

  • un demodulatore scritto in Python
  • ed un demodulatore app per smartphone Android.

Covid-bit: possibili contromisure

Secondo gli articoli dello stesso Dr.Guri diverse sarebbero le contromisure difensive da adottare contro il canale nascosto studiato da lui e dal suo team.

A livello di prevenzione primaria, l’esperto suggerisce di vietare l’uso di telefoni cellulari nell’area protetta e non lasciare che il personale o i visitatori esterni si avvicinino a meno di 2 m dalle apparecchiature, anche se c’è un muro di mezzo

Una soluzione di questo tipo sarebbe però poco rilevante in attacchi in cui sono coinvolti insider e/o hardware non autorizzati già installati.

Come seconda linea guida pratica, viene indicato di utilizzare una gabbia di Faraday per prevenire emissioni elettromagnetiche.
Tuttavia, questo approccio potrebbe risultare costoso e poco pratico su larga scala.

Anche monitorare o disturbare i segnali nello spettro 0-60 kHz potrebbe rivelarsi una soluzione sterile e portare solo ad una mitigazione dei rischi.

Tra le attenzioni a livello quotidiano invece, si può tentare di prevenire la compromissione dei propri dati eseguendo un’analisi dinamica dei thread al fine di:

    • rilevare eventuali comportamenti sospetti
    • e avviare carichi di lavoro casuali sui processori della CPU

quando si ha il sospetto di un’attività anomala.

Infatti, l’esecuzione di processi casuali su dispositivi sicuri aggiunge un rumore radio imprevedibile ai segnali nascosti, rendendoli più difficili da rilevare e decodificare.

Infine, si potrebbe prendere in considerazione il blocco della frequenza della CPU. Tuttavia, Guri ha scoperto che questa mossa limita solo il raggio d’azione dell’attacco e non lo elimina del tutto.

In conclusione, è affascinante scoprire come il mondo della cybersecurity sia dinamico ed alla continua ricerca di nuove soluzioni per contrastare il lavoro dei cybercriminali.

E lo fa non limitandosi soltanto a sviluppare nuovi software di sicurezza, ma anche escogitando attacchi contro infrastrutture apparentemente inespugnabili.