USBee: transmitindo dados via RF usando o barramento USB
Nos últimos anos, os peritos do Centro de Pesquisa de Segurança Cibernética da Universidade Ben-Gurion do Negev, em Israel, analisaram métodos para exfiltrar dados usando freqüências de celulares, o ruído de ventoinhas e unidades HDD, sinais eletromagnéticos de placas de vídeo e de calor emitidos pela CPU e GPU.
Agora, eles vêm-se com um novo método que envolve um dispositivo USB não modificado e uma peça experimental de malware apelidado de "USBee".
Usando dispositivos USB para exfiltrar dados de sistemas via RF não é exatamente algo inédito: documentos da NSA vazados por Snowden em 2013 mostraram que o conjunto de ferramentas da agência incluídas tais capacidades. No entanto, estas ferramentas contam com conectores USB modificados, enquanto que os pesquisadores descobriram uma maneira de exfiltrar dados usando dispositivos não modificados.
O USBee é projetado para alavancar o barramento de dados USB para criar emissões eletromagnéticas a partir de um dispositivo conectado (qualquer dispositivo!). O malware pode modular dados binários sobre as ondas eletromagnéticas e enviá-lo a um receptor nas proximidades. Em seus experimentos, os pesquisadores usaram um rádio RTL-SDR conectado a um laptop e conseguiram receber dados a taxas de até 80 bytes por segundo. Esta é uma taxa de transferência bastante elevada e que pode permitir ao malware transferir senhas fortes e chaves de criptografia dentro de segundos.
Os dados podem ser transferidos através de uma distância considerável, como mostrado neste vídeo feito por investigadores da Universidade de Ben-Gurion:
Pesquisadores propuseram várias medidas preventivas, tais como: a proibição de equipamentos eletrônicos perto de computadores sensíveis, usando antivírus e sistemas de detecção de intrusão e protegendo os componentes para evitar emissões electromagnéticas.
No entanto, os especialistas observaram que estes métodos nem sempre podem ser muito eficientes ou viáveis. Por exemplo, sistemas de detecção de intrusão configurados para detectar certos padrões poderiam resultar em uma elevada taxa de falsos positivos.
