Il ricercatore Mordechai Guri della Ben-Gurion University of the Negev (Israele) ha scoperto un nuovo metodo che potrebbe essere sfruttato per rubare informazioni sensibili da un computer “air-gapped”, ovvero non connesso ad Internet. Dopo aver installato un malware è possibile utilizzare i LED della scheda di rete per comunicare i dati tramite codice Morse.
ETHERLED: furto di password tramite codice Morse
Mordechai Guri ha pubblicato diverse ricerche sui metodi che possono essere usati per accedere ai dati conservati sui computer non connessi ad Internet, come quelli che gestiscono le infrastrutture critiche. ETHERLED, come si deduce dal nome, descrive il metodo che sfrutta una scheda di rete, ma può funzionare anche con altri dispositivi dotati di LED, come router e NAS.
Un cybercriminale dovrebbe innanzitutto accedere fisicamente al computer per installare un malware che contiene una versione modificata del firmware o del driver della scheda di rete. Le porte Ethernet hanno solitamente due LED, un LED di stato con due colori che indicano la velocità di connessione e un LED di attività con un colore che indica la trasmissione/ricezione dei dati.
Utilizzando il firmware o il driver modificato sarebbe possibile controllare accensione/spegnimento, frequenza di lampeggio e modulazione del colore dei LED. Variando la durata dello stato dei LED (acceso/spento) sarebbe possibile comunicare i dati tramite codice Morse. Il segnale luminoso potrebbe essere catturato a distanza con la fotocamera di uno smartphone, una webcam, una telecamera di sorveglianza, una reflex o un telescopio.
In base ai test effettuati dal ricercatore, il metodo ETHERLED consente di rubare password, codici PIN, chiavi crittografiche, chiavi Bitcoin e altre informazioni sensibili. Mordechai Guri suggerisce varie contromisure più o meno efficaci. Anche se il computer non è connesso ad Internet è sempre consigliato l’uso di una soluzione di sicurezza che rileva e blocca ogni tipo di malware.