Seguridad de endpoints, seguridad a nivel de hardware/chip El ataque de señal de radio basado en RAM permite a los atacantes exfiltrar datosPrajeet Nair (@prajeetspeaks) • 10 de septiembre de 2024 Coloque una jaula de Faraday alrededor de estas placas base para detener los ataques RAMBO. (Imagen: Shutterstock) Un novedoso ataque de canal lateral explota las señales de radio emitidas por la memoria de acceso aleatorio en computadoras con espacio de aire, lo que presenta una nueva amenaza para las redes de alta seguridad. Ver también: OnDemand | Protección de dispositivos y software contra ciberamenazas de próxima generación Investigadores de la Universidad Ben-Gurion del Néguev presentaron una nueva técnica llamada RAMBO, para el ataque de señales de radio basadas en RAM, que permite a los atacantes exfiltrar datos de sistemas con espacio de aire utilizando frecuencias de radio generadas por RAM. Las redes con espacio de aire están físicamente aisladas de Internet, sin canales de comunicación cableados o inalámbricos disponibles, lo que las hace comunes en entornos sensibles como instalaciones militares e infraestructura crítica. El investigador principal Mordechai Guri ha demostrado en una investigación publicada recientemente que incluso esos entornos son vulnerables a ataques sofisticados. “Los atacantes pueden convertir el hardware dentro de estos sistemas en una antena”, dijo Guri. “Esto lleva el concepto de fuga de datos a un nuevo nivel. Ya no estamos hablando sólo de archivos o contraseñas, estamos hablando de la memoria del ordenador en sí misma actuando como un dispositivo de comunicación encubierto”. Guri y su equipo desarrollaron un método para manipular las corrientes eléctricas que fluyen a través del bus de memoria de un ordenador, generando señales electromagnéticas que podrían ser interceptadas y decodificadas por un atacante con el equipo adecuado. Las emisiones se pueden modular para representar datos binarios, lo que permite que el malware dentro del sistema aislado transmita información sensible –como claves de cifrado, datos biométricos o incluso archivos completos– a un receptor remoto fuera de la red. El ataque se lleva a cabo en varias fases, dijo Guri. Primero, la red aislada debe verse comprometida, normalmente a través de medios físicos como una unidad USB infectada o una amenaza interna. Una vez que se introduce el malware, infecta la máquina de destino, obteniendo acceso a la memoria. A partir de ahí, el malware genera señales de radiofrecuencia manipulando la actividad eléctrica de la RAM. Las señales pueden ser interceptadas por un atacante utilizando un receptor de radio definido por software y una antena simple colocada dentro de un cierto rango de la máquina comprometida. La innovación clave del ataque RAMBO es el uso de la RAM para producir estas señales encubiertas, un método que es difícil de detectar. El bus RAM, que conecta la unidad central de procesamiento a la memoria, está constantemente transfiriendo datos, generando señales eléctricas que generan interferencias electromagnéticas. Al controlar cuidadosamente esta actividad eléctrica, el atacante puede codificar datos en las señales emitidas. Los investigadores pudieron transmitir datos a una velocidad de hasta 1.000 bits por segundo, suficiente para exfiltrar información confidencial con relativa rapidez. Esto se hace utilizando una técnica de modulación llamada on-off keying, donde la presencia o ausencia de una señal representa datos binarios. Con RAMBO, los atacantes ya no necesitan depender de métodos tradicionales como las unidades USB para extraer datos de redes con espacio de aire. Mientras la máquina objetivo esté en funcionamiento, un atacante puede potencialmente extraer información a través de las señales de radio generadas por su RAM. “Imagínese un escenario en el que se están filtrando datos confidenciales del gobierno o de las empresas a través de emisiones de RAM. Esto ya no es una amenaza hipotética. Está sucediendo y las organizaciones deben prepararse”, dijo Guri. Si bien el ataque RAMBO plantea una amenaza significativa, la investigación de Guri incluye posibles contramedidas. Una de las formas más efectivas de mitigar el riesgo es cubrir las máquinas sensibles con blindaje Faraday. Esto implica encerrar la computadora en una caja de metal que bloquea el escape de las señales de radio. Otras contramedidas incluyen restringir el acceso físico a las máquinas con espacio de aire, deshabilitar los puertos USB y monitorear el uso de la memoria para detectar actividades sospechosas. “El blindaje Faraday puede ser costoso y no es una solución práctica para todos los entornos. Las organizaciones deben evaluar su riesgo y decidir el nivel adecuado de protección”, dijo Guri. URL de la publicación original: https://www.databreachtoday.com/ram-signals-expose-air-gapped-networks-to-attacks-a-26258