Investigadores de seguridad de Israel han descubierto una nueva técnica de ciberataque que han denominado "SATAn". Con este nombre tan llamativo puede que, si tienes algún conocimiento de tecnología, hayas averiguado a qué hace referencia. Para aquellos que no, el nuevo método SATAn es, básicamente, una forma de robar información y datos de sistemas protegidos por el aire utilizando el cable SATA como antena inalámbrica para transmitir datos e información desde un PC a algún dispositivo de un lugar cercano. |
El cable SATA (Serial Advanced Technology Attachment), es el elemento que une físicamente la placa base con los dispositivos de almacenamiento. Este lo vamos a encontrar muy fácilmente si abrimos nuestra torre PC y sirvieron para mejorar la velocidad y la capacidad de transmisión de datos respecto a los conectores que se utilizaban antes. Este tipo de hackeo surge de la necesidad de robo de datos muy protegidos que pertenecen a sistemas o redes con protección aérea, que están aislados de cualquier conexión con el resto del mundo (ni Internet, ni Bluetooth). El ataque bautizado como SATAn convierte el cable de la unidad en una antena que permite robar datos.
El hackeo SATAn convierte en un emisor de radio el cable de tu disco duro y permite copiar su contenido sin abrir el PC
Los investigadores revelaron un nuevo ataque 'SATAn' que puede convertir un cable SATA en un transmisor de radio, lo que permite filtrar datos de un sistema que no está conectado a una red y transmitirlos a un receptor a 1 m de distancia, todo sin físicamente modificando el cable SATA o el hardware. La técnica basada en software puede funcionar desde el espacio del usuario o a través de una máquina virtual (VM), y puede ver una breve demostración en el video incrustado a continuación.
Algunos de los datos más sensibles del planeta se almacenan en sistemas con brechas de aire. Estos sistemas están completamente aislados de cualquier conexión con el mundo exterior, como una red o Internet, y tampoco tienen ningún hardware que pueda comunicarse de forma inalámbrica, como Bluetooth inalámbrico o hardware Wi-Fi. Como tal, requiere técnicas ultrasofisticadas para robarles datos. El investigador Mordechai Guri de la Universidad del Negev, Israel, ha logrado la hazaña al convertir un cable SATA estándar en un transmisor de radio, pero sin realizar ninguna modificación física en el hardware.
Al igual que con todas las interfaces de un ordenador, el bus SATA genera interferencia electromagnética durante el funcionamiento normal y, si se usa correctamente, esa interferencia puede manipularse y luego usarse para transmitir datos. En este caso, el investigador usó el cable SATA como una antena inalámbrica que operaba en la banda de frecuencia de 6 GHz, transmitiendo así un mensaje corto a la computadora portátil cercana. Este ataque se puede utilizar junto con keyloggers para robar contraseñas u otros datos confidenciales. Asimismo, los atacantes pueden emplear otros mecanismos para robar datos importantes, como archivos e imágenes.
Naturalmente, el atacante primero tendría que instalar software malicioso en la máquina objetivo, pero como hemos visto con Stuxnet y otros ataques, los dispositivos USB con código malicioso pueden propagar malware dentro de los sistemas protegidos. De lo contrario, el atacante necesitaría acceso físico para instalar la carga útil del ataque.
Una vez instalado, el software malicioso primero codifica los datos que se van a robar. Luego realiza ciertos tipos de acceso al sistema de archivos, como lecturas y escrituras, de manera controlada para generar una señal en el cable. Si bien las operaciones de lectura o escritura pueden crear efectivamente las señales correctas, el investigador señala que las operaciones de lectura generalmente no requieren permisos más altos a nivel del sistema y generan señales más fuertes (hasta 3 dB) que las operaciones de escritura. Los investigadores también notaron que las operaciones en segundo plano que incurren en otro tráfico hacia el dispositivo de almacenamiento generalmente están bien. Aun así, la intensa actividad de conducción puede enturbiar las transmisiones, por lo que es mejor pausar o detener la transmisión cuando se produzcan actividades de fondo intensas.
El atacante puede recibir la señal de un dispositivo cercano, pero el alcance es limitado. En este caso, el receptor tiene que estar a menos de 1 m del transmisor debido al aumento de las tasas de error de bits asociado con distancias más largas. El dispositivo receptor, en este caso, una computadora portátil, utiliza un receptor de radio definido por software (SDR) para recibir la señal.
La filosofía detrás de este tipo de ataque no es nueva: los investigadores demostraron previamente la manipulación de las frecuencias de reloj de una tarjeta gráfica AMD Radeon para crear un transmisor de radio que generaba una señal que un atacante podría recibir a través de una pared a 50 pies de distancia, pero los hacks se están volviendo cada vez más sofisticados a medida que los investigadores encuentran nuevas interfaces para explotar.
Hay varias formas de mitigar este tipo de ataques, pero no son infalibles. El documento sugiere que la primera línea de defensa es implementar políticas que impidan la penetración inicial, junto con otras tácticas, como prohibir los receptores de radio en las instalaciones protegidas. Naturalmente, los espías también pueden usar su propio hardware de monitoreo para detectar si hay transmisiones maliciosas en curso, o instalar software en máquinas seguras que monitorean el uso anormal de archivos, como actividades extrañas de lectura y escritura en archivos temporales. Estos tienden a ser métodos de detección de bajo rendimiento, sin embargo, porque las transmisiones y la actividad de la unidad son fáciles de disfrazar.
El método de protección más directo sería agregar blindaje electromagnético adicional en el cable SATA o en la carcasa de la PC. Pero, de nuevo, tal vez la complejidad del ataque en sí mismo sea la mejor protección para nosotros, la gente normal. Construir el receptor es sorprendentemente simple, pero desarrollar el software necesario y las técnicas de codificación requerirían un alto nivel de sofisticación, lo que significa que estos tipos de ataques probablemente se releguen a la nación.
Con este nombre tan llamativo puede que, si tienes algún conocimiento de tecnología, hayas averiguado a qué hace referencia. Para aquellos que no, el nuevo método SATAn es, básicamente, una forma de robar información y datos de sistemas protegidos por el aire utilizando el cable SATA como antena inalámbrica para transmitir datos e información desde un PC a algún dispositivo de un lugar cercano.
El cable SATA (Serial Advanced Technology Attachment), es el elemento que une físicamente la placa base con los dispositivos de almacenamiento. Este lo vamos a encontrar muy fácilmente si abrimos nuestra torre PC y sirvieron para mejorar la velocidad y la capacidad de transmisión de datos respecto a los conectores que se utilizaban antes.
Este tipo de hackeo surge de la necesidad de robo de datos muy protegidos que pertenecen a sistemas o redes con protección aérea, que están aislados de cualquier conexión con el resto del mundo (ni Internet, ni Bluetooth). Es por eso que se hace necesaria otra forma de violación de los sistemas de seguridad.
En una prueba para analizar cómo este sistema realmente funciona y, por lo tanto, hace vulnerable un sistema protegido, el investigador manipuló esta interferencia electromagnética y utilizó el cable SATA como una antena inalámbrica improvisada que opera en la banda de frecuencia de 6GHz.
"El receptor monitoriza el espectro de 6GHz en busca de una posible transmisión, demodula los datos, los descodifica y los envía al atacante", explica el investigador en su artículo.
Pero matizan que este ataque necesita la instalación previa de un software malicioso para poder completar todo el proceso. Quizá esta pueda ser la parte más compleja, ya que sin esto es imposible robar datos a través de SATAn.