SATAn gebruikt harddisk kabel als antenne

SATAHet lijkt erop dat het laboratorium van Mordechai Guri aan de Ben-Gurion University de plaats is waar computers met air-gap beveiliging hun geheimen gaan prijsgeven. En deze hack waarbij de SATA-kabel van een computer als antenne wordt gebruikt om gegevens te exfiltreren, is een ander voorbeeld van hoeveel side-channel attacks de typische pc beschikbaar maakt.

Even een stukje introductie voor niet-beveiligingsexperts (mijn vakgebied). Onder air-gap security wordt verstaan een systeem dat niet met een netwerk verbonden is: niet via Wi-Fi en niet via een kabel – vandaar “air-gap”. Dan kan het immers niet aangevallen worden en ook niet besmet met virussen, want je kunt er van buitenaf niet bij, alleen door fysiek achter het toetsenbord te gaan zitten. Dit soort systemen wordt gebruikt in omgevingen met zeer gevoelige (geheime) gegevens. Een side-channel attack is een manier waarbij gegevens aan een systeem onttrokken worden buiten de gebruikelijke connectiviteit: bijvoorbeeld door een LEDje op de computer (van de harddisk activiteit, of een ander LEDje dat door de CPU aan te sturen is) in morse te laten seinen. Tot nu toe werd aangenomen dat het zo goed als onmogelijk was om gegevens uit een air-gapped computer te onttrekken. Maar “zo goed als” is niet helemaal onmogelijk, zoals blijkt.

De exploit, toepasselijk “SATAn” genoemd, is gebaseerd op het feit dat de SATA 3.0-interface die in veel computers wordt gebruikt een bandbreedte van 6,0 Gb/s heeft, wat betekent dat het manipuleren van de I/O van de computer het mogelijk zou maken om gegevens te verzenden vanaf een air-gapped machine rond de 6 GHz. Het is natuurlijk een gecompliceerde exploit en omvat het plaatsen van een verzendprogramma op de doelmachine met behulp van de gebruikelijke methoden, zoals phishing of zero-day exploits (waar bij mij de vraag rijst hoe je dat voor elkaar krijgt op een air-gapped computer, maar hey, het is een laboratoriumtest en geen praktijksituatie). Eenmaal geïnstalleerd, gebruikt het verzendende programma een combinatie van lees- en schrijfbewerkingen op de SATA-schijf om HF-signalen te genereren die de te exfiltreren gegevens coderen, waarbij de datalijnen in de SATA-kabel als antennes fungeren.

SATAn wordt in de onderstaande video in actie getoond. Het duurt even om slechts een paar bytes aan gegevens te verzenden en het bereik is minder dan een meter, maar dat zou genoeg kunnen zijn om de exploit te laten slagen. De testopstelling maakt gebruik van een SDR — met name een ADALM PLUTO — en een laptop, maar je kunt je gemakkelijk voorstellen dat een veel kleiner pakket wordt gebouwd voor een onopvallende aanval in walk-by-stijl. Mordechai biedt ook een mogelijke tegenmaatregel voor SATAn, die in feite de harde schijf flink bezig houdt om HF-ruis te genereren om zo alle gegenereerde signalen te maskeren.

Hoewel waarschijnlijk beperkt in zijn praktische toepassingen (understatement: eerst een verzendprogramma op de goed bewaakte doelcomputer installeren, en dan met een SDR op 6GHz binnen een meter van die computer komen: dan kan je ‘m beter gewoon meenemen), is SATAn een interessante side-channel attack om toe te voegen aan Dr. Guri’s lijst met exploits. Van optische exfiltratie met behulp van beveiligingscamera’s tot het gebruik van voedingen als luidspreker: de kwetsbaarheden blijven zich opstapelen.