Especialistas em segurança cibernética de Israel descobriram uma nova maneira de roubar dados de sistemas de computador isolados. Estes sistemas, utilizados em estruturas críticas, como instalações militares, agências governamentais e centrais nucleares, estão fisicamente isolados da Internet para proteção contra ameaças externas. Porém, um novo ataque para interceptar informações confidenciais, denominado RAMBO, utiliza radiação eletromagnética gerada pela operação do RAM.
Apesar da falta de uma conexão direta com a Internet, escreve BleepingComputer, os sistemas com entreferro (Air-gapped) ainda parecem ser suscetíveis a comprometimentos. Os invasores podem injetar malware por meio de mídia física, como unidades USB, ou usar uma cadeia de ações mais complexa para estabelecer comunicação com um PC. O malware incorporado em um sistema pode manipular silenciosamente componentes da RAM, gerando pulsos eletromagnéticos controlados que transmitem informações dos computadores.
Os dados são codificados em sinais de RF, onde “1” e “0” são representados como “ligado” e “desligado”. Para aumentar a confiabilidade da transmissão e reduzir erros, é utilizado o código Manchester, que é uma codificação bipulso absoluta dos dados binários originais usando um sinal digital binário. Um hacker pode interceptar esses sinais usando rádios definidos por software (SDRs) de baixo custo e decodificá-los novamente em código binário. Ao mesmo tempo, a taxa de transferência de dados durante o ataque RAMBO (Radiation of Air-gapped Memory Bus for Offense) é baixa e atinge 1000 bits por segundo (bps), o que equivale a 0,125 KB/s. No entanto, como observam os pesquisadores, “isso é suficiente para roubar pequenas quantidades de dados, como texto, teclas digitadas e pequenos arquivos”. Por exemplo, roubar uma senha leva entre 0,1 e 1,28 segundos, enquanto uma chave criptografada RSA de 4.096 bits leva entre 4 e 42 segundos.
Por sua vez, o alcance de transmissão de dados depende da velocidade de transmissão. Na velocidade máxima (1000 bits por segundo), o sinal é estável a uma distância de até 3 metros, mas à medida que a distância aumenta, a probabilidade de erros também aumenta. Quando a velocidade é reduzida para 500 bits por segundo e menos, o alcance de transmissão pode chegar a 7 metros. Os pesquisadores experimentaram velocidades mais altas, mas descobriram que acima de 5 Kbps o sinal se tornava muito fraco para transmitir informações de maneira confiável. “Descobrimos que a taxa de dados não deve exceder 5.000 bits por segundo, caso contrário o sinal fica muito fraco e contém muito ruído”, relatam os autores do estudo.
O trabalho científico publicado sugere vários métodos de proteção contra ataques RAMBO e outros métodos semelhantes. Isso inclui proteção física aprimorada, supressão de emissões eletromagnéticas geradas pela memória de acesso aleatório (RAM), interferência externa de radiofrequência e o uso de gabinetes de blindagem Faraday para bloquear emissões eletromagnéticas. Os pesquisadores também testaram a eficácia do ataque RAMBO em máquinas virtuais e descobriram que a vulnerabilidade funciona mesmo neste ambiente. No entanto, a interação da RAM do sistema host com o sistema operacional e outras máquinas virtuais pode causar falha no ataque. “Embora tenhamos demonstrado que o ataque RAMBO funciona em ambientes virtuais, a interação com o sistema host pode causar seu travamento”, explicam os pesquisadores.