sicurezza

Attacchi cyber non convenzionali, via ultrasuoni e covert channel: lo stato dell’arte

Anche reti di computer isolate e non connesse a internet possono essere violate attraverso dei percorsi alternativi che sfruttano le onde acustiche dei dispositivi. Si tratta di uno dei molti attacchi non convenzionali per eludere sistemi di sicurezza anche sofisticati e con i quali i cyber analyst devono fare i conti

29 Nov 2018
Simone Soderi

IEEE Senior Member - Ricercatore indipendente sicurezza cibernetica

31491788 - virus infection spreading out in a network

Smartphone e personal computer possono offrire molte interfacce – tra cui anche quelle audio – ad attacchi non convenzionali. Di seguito una breve panoramica sulle airgapped network, i covert channel, gli attacchi tramite ultrasuoni per comprendere e anticipare questi tipi di attacco.

La protezione della rete informatica e dei dispositivi ad essa collegati con adeguate politiche di cyber security è un’esigenza imprescindibile per molte aziende, soprattutto quelle che operano in settori particolarmente sensibili quali quello militare e bancario. E’ importante però porre l’attenzione su canali di comunicazione non convenzionali che potrebbero non essere inclusi nelle classiche procedure di sicurezza.

Una definizione di cyberspazio

In una società iper-connessa quale quella in cui viviamo, le comunicazioni wireless e cablate sono parte sempre più integrante del nostro vivere quotidiano. Questa evoluzione tecnologica ha cambiato positivamente la vita quotidiana di tutti noi, ma ha anche aperto a nuove minacce che possono incidere sulla sicurezza dei dati che ogni giorno condividiamo con lo smartphone oppure con altri dispositivi. La cyber security ha implicazioni negli affari politici, economici e militari di ogni paese. Inoltre, la rapida evoluzione dell’industria delle comunicazioni e delle tecnologie dell’informazione (ICT) ha creato nuove questioni di sicurezza. È per questo che ogni paese elabora strategie per mitigare questo tipo di minacce, che potrebbero influire sulla sicurezza nazionale.

WHITEPAPER
Previeni i difetti di sicurezza nelle applicazioni: la soluzione in 5 punti
Sicurezza
Software

Negli Stati Uniti (USA), la National Defence University (NDU) ha definito il cyberspazio come un ambito operativo definito dall’uso dell’elettronica e dello spettro elettromagnetico per creare, archiviare, modificare e scambiare le informazioni attraverso sistemi di informazione interconnessi tra di loro. Ovviamente, la struttura del cyberspazio cambia con l’evoluzione tecnologica. Oggi, ad esempio, la sua struttura può essere descritta dai seguenti sottodomini:

  • Infrastrutture di comunicazione: reti e protocolli definiti dal modello di interconnessione (OSI) e di protocollo di controllo della trasmissione / protocollo Internet (TCP / IP);
  • Sistemi: dispositivi elettronici impiegati per la comunicazione ed il salvataggio dei dati;
  • Contenuti e applicazioni: software che sfruttano file-system gerarchici e database relazionali per l’elaborazione dei dati;
  • Persone e social: comunità di persone suddivise per argomenti di interesse. Ad esempio, comunità online: come mailing list, blog, social network, ecc.

Sicurezza a livello fisico delle comunicazioni wireless

Le comunicazioni wireless forniscono una parte importante della connettività necessaria per le attività quotidiane. Tuttavia, dobbiamo essere consapevoli se i dati che trasmettiamo vengono gestiti in sicurezza o meno. Negli ultimi anni, sono state utilizzate diverse tecniche per garantire tale sicurezza. La cybersecurity è un settore multidisciplinare che utilizza strumenti che possono spaziare dalla crittografia nei protocolli, fino a software specifici che mitigano particolari modelli di attacco. Un esempio è il protocollo HTTPS che, supportato da una Certificate Authority (CA), implementa una difesa da attacchi di tipo man-in-the-middle (MitM).

Negli ultimi anni, ci sono state anche altre discipline che hanno permesso le implementazioni di comunicazioni wireless sicure. La physical layer security è una di queste. Con riferimento al modello open system interconnection (OSI) [1], questa tecnica si basa sull’elaborazione numerica del segnale per proteggere le comunicazioni al livello più basso del modello OSI. È stato dimostrato come in ambito di Internet of Things (IoT) oppure nelle wireless body area networks (WBAN), la physical layer security è un metodo promettente, laddove è necessaria una soluzione di sicurezza a basso consumo di energia.

Nel 1949, Shannon ha sviluppato la prima metrica per la teoria della comunicazione dei sistemi crittografici. In letteratura, ci sono diversi contributi che si occupano della sicurezza a livello fisico in cui sono sviluppate comunicazioni sicure che sfruttano imperfezioni del canale wireless, multipath e persino interferenze. In ognuno di questi studi, la metrica introdotta da Shannon viene usata come riferimento teorico.

“Airgapped networks” ed onde acustiche

Nel settore militare e bancario, le reti richiedono una particolare attenzione dal punto di vista di sicurezza cibernetica. Questi sistemi, ritenuti sensibili, vengono isolati da altri componenti della rete informatica utilizzando un’architettura che include le airgapped networks. Una rete di questo tipo non è fisicamente collegata ad altri computer né tanto meno ad Internet. Solo il personale che si trova nello stesso ambiente dove queste reti sono installate, può avere accesso ai dati ed alle risorse informatiche fornite da una rete airgapped.

Purtroppo, oggi sappiamo che dati due dispositivi elettronici nella stessa stanza separati da un airgap, questi non si possono considerare realmente isolati. Infatti, nel 1973 Lampson ha introdotto la definizione di covert channel, come quel canale di comunicazione che non è destinato al trasferimento di informazioni. Recentemente, l’utilizzo di questo tipo di canali è stato proposto per eludere le politiche di sicurezza della rete stabilendo di fatto dei percorsi di comunicazione alternativi.

Le onde acustiche prodotte da dispositivi elettronici sono un esempio di come covert channel possono essere usate per colmare l’airgap. Attualmente solo dispositivi ritenuti sensibili, come quelli militari, implementano delle mitigazioni contro questo tipo di attacco.

In media gli esseri umani, possono udire frequenze nell’intervallo da 20 Hz a 20 kHz. Mentre, sono definiti ultrasuoni le frequenze superiori a 20 kHz [2]. Le comunicazioni basate su ultrasuoni, possono aggirare furtivamente molti meccanismi di controllo implementati a difesa dei dispositivi elettronici e delle reti informatiche.

Le comunicazioni acustiche possono essere implementate sfruttando microfoni ed altoparlanti già installati sui dispositivi. Dal punto di vista della sicurezza, normalmente il suono ultrasonico non richiede un’autorizzazione specifica da parte dell’utente. In tale circostanza, un computer può emettere suoni a qualsiasi altro dispositivo nelle sue vicinanze violando di fatto le restrizioni definite delle politiche di sicurezza della rete.

Questo meccanismo può essere ovviamente sfruttato dai malware per propagare l’infezione ad altri dispositivi. Infatti, nel 2013, alcuni ricercatori hanno scoperto un malware chiamato
BadBios [3], che riusciva a comunicare tra due personal computer, non collegati alla stessa rete, tramite gli altoparlanti e microfoni. BadBios viola l’airgap per mezzo di una comunicazione ad ultrasuoni attaccando anche le smart-tv [4].

_____________________________________________________

Riferimenti

[1] Modello Open Systems Interconnection (OSI), https://it.wikipedia.org/wiki/Modello_OSI.

[2] https://it.wikipedia.org/wiki/Ultrasuoni

[3] Meet badbios, the mysterious mac and pc malware that jumps airgaps — ars technica. https://arstechnica.com/information-technology/2013/10/meet-badbios-the-mysterious-mac-and-pc-malware-that-jumps-airgaps/,10 2013.

[4] BadBIOS is back – this time on your TV, https://nakedsecurity.sophos.com/2015/11/16/badbios-is-back-this-time-on-your-tv/

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati