L’approccio delle software house produttrici dei classici antivirus è attendere che ci siano nuove tipologie di attacco per identificarli, inserirli negli elenchi di file pericolosi e quindi ricercarli all’interno degli end-point o reti al fine di eliminarli. Il moderno approccio alla cyber-security israeliana invece si basa sull’anticipare tare processo e quindi essere in grado di prevenire anche attacchi non ancora noti. Un esempio che andiamo trattando da diverso tempo è la tecnologia DECEPTIVE per la difesa degli end-point di Deceptive Bytes. Oggi invece parliamo di un altro esempio: individuare nuove forme di attacco prima che gli stessi attori del cyber-crime possano pensarli, per poi trovarne il potenziale rimedio.
Stiamo parlando della ricerca dell’Università Ben-Gurion del Negev in Israele che ha scoperto una nuova potenziale tecnica di attacco per l’esfiltrazione dati chiamata “Air-Fi” da un qualsiasi PC air-gapped (non collegato ad altri PC, reti o WIFI) bersaglio. L’università ha dimostrato che un attaccante, dopo aver inserito un malware può sfruttare i bus di memoria per moduli DDR SDRAM (integrati nelle moderne schede madri) allo scopo di generare emissioni elettromagnetiche nella banda di frequenza tipica del protocollo Wi-Fi IEEE 802.11b/g/n (2,4 GHz) e quindi intercettabili da un device vicino di tipo comune (cellulare, congegno IoT o altro), che avrebbe il compito finali di trasmetterli via Internet all’attaccante. Tale processo è potenzialmente realizzabile anche privilegi di amministrazione e nel caso di ambienti virtualizzati. Al riguardo sono stati individuati diversi malware in grado di riconfigurare il BIOS/UEFI riuscendo così a controllare il sistema operativo e l’intero hardware del dispositivo (ad esempio Trickbot e MosaicRegressor).