Un equipo de investigadores israelíes ha desarrollado un novedoso método de ataque cibernético denominado RAMBO (Radiación del Bus de Memoria de Computadoras Aisladas para Ofensiva, por sus siglas en inglés) que permite extraer datos de sistemas informáticos altamente protegidos mediante la generación de radiación electromagnética desde la memoria RAM del dispositivo.
Sistemas aislados en riesgo
Los sistemas aislados, comúnmente utilizados en entornos de misión crítica con requisitos de seguridad excepcionalmente altos como gobiernos, sistemas de armamento y centrales nucleares, están diseñados para permanecer desconectados de internet y otras redes con el fin de prevenir infecciones de malware y robo de datos. Sin embargo, estos sistemas aún pueden ser vulnerables a ataques sofisticados.
Funcionamiento del ataque RAMBO
Para llevar a cabo el ataque RAMBO, un atacante debe primero introducir malware en el sistema aislado. Este software malicioso recopila datos sensibles y los prepara para su transmisión. La técnica consiste en manipular los patrones de acceso a la memoria (operaciones de lectura/escritura en el bus de memoria) para generar emisiones electromagnéticas controladas desde la RAM del dispositivo.
Estas emisiones son esencialmente un subproducto del malware que cambia rápidamente las señales eléctricas dentro de la RAM, un proceso que no es monitorizado activamente por los productos de seguridad y, por lo tanto, no puede ser detectado ni detenido fácilmente.
Recepción y decodificación de datos
El atacante puede utilizar un Radio Definido por Software (SDR) relativamente económico con una antena para interceptar las emisiones electromagnéticas moduladas y convertirlas nuevamente en información binaria. Los datos emitidos se codifican en «1» y «0», representados en las señales de radio como «encendido» y «apagado». Los investigadores optaron por utilizar el código Manchester para mejorar la detección de errores y garantizar la sincronización de la señal.
Rendimiento y limitaciones
El ataque RAMBO logra velocidades de transferencia de datos de hasta 1.000 bits por segundo (bps), lo que equivale a 128 bytes por segundo, o 0,125 KB/s. A esta velocidad, se necesitarían alrededor de 2,2 horas para extraer 1 megabyte de datos, por lo que RAMBO es más adecuado para robar pequeñas cantidades de información como texto, pulsaciones de teclado y archivos pequeños.
Los investigadores descubrieron que el registro de pulsaciones de teclado se puede realizar en tiempo real al probar el ataque. Sin embargo, robar una contraseña toma entre 0,1 y 1,28 segundos, una clave RSA de 4096 bits tarda entre 4 y 42 segundos, y una imagen pequeña entre 25 y 250 segundos, dependiendo de la velocidad de transmisión.
Alcance y precisión
Las transmisiones rápidas están limitadas a un alcance máximo de 300 cm (10 pies), con una tasa de error de bits del 2-4%. Las transmisiones de velocidad media aumentan la distancia a 450 cm (15 pies) para la misma tasa de error. Finalmente, las transmisiones lentas con tasas de error cercanas a cero pueden funcionar de manera confiable a distancias de hasta 7 metros (23 pies).
Medidas de prevención
El documento técnico publicado en Arxiv proporciona varias recomendaciones para mitigar el ataque RAMBO y otros ataques similares basados en canales encubiertos electromagnéticos. Estas incluyen:
- Restricciones estrictas de zona para mejorar la defensa física
- Interferencia de RAM para interrumpir los canales encubiertos en la fuente
- Interferencia electromagnética externa para interrumpir las señales de radio
- Recintos de Faraday para bloquear la emanación de radiación electromagnética de los sistemas aislados
Los investigadores probaron RAMBO contra procesos sensibles que se ejecutan dentro de máquinas virtuales y encontraron que seguía siendo efectivo. Sin embargo, dado que la memoria del host está sujeta a diversas interacciones con el sistema operativo anfitrión y otras máquinas virtuales, es probable que los ataques se vean interrumpidos rápidamente en estos entornos.
Este nuevo método de ataque pone de manifiesto la continua necesidad de mejorar las medidas de seguridad incluso en los sistemas más aislados, ya que los atacantes siguen encontrando formas innovadoras de comprometer la confidencialidad de la información.
fuente: Bleepping computer y Arvix
