Onderzoekers onderscheppen data via straling en geluiden
Amerikaanse onderzoekers zijn erin geslaagd data van een machine te onderscheppen door elektromagnetische straling of geluiden van condensators op te vangen. Onderzoekers verwachten de technologie op termijn ook in het ‘wild’ te zullen terugzien.
De methode is ontwikkeld door de onderzoekers Robert Callan, Alenka Zajic en Milos Prvulovic van het Georgia Institute of Technology, die deze de side channel-methode hebben genoemd. De onderzoekers hebben ontdekt dat machines onbedoeld data laten uitlekken via elektromagnetische straling die zij afgeven, die kan worden opgevangen met antennes. Daarnaast blijkt data ook te kunnen worden afgeleid uit geluiden die condensatoren maken en fluctuaties in de stroomafname door apparaten die op één stopcontact zijn aangesloten.
Geen fysieke toegang nodig
Fysieke toegang tot een machine is niet nodig om een aanval uit te voeren, terwijl de machine ook geen verbinding hoeft te hebben met internet. Dit maakt het dan ook lastig effectief maatregelen te nemen die voorkomen dat aanvallers data in handen kunnen krijgen. De onderzoekers tonen als demonstratie hoe zij met een laptop in staat zijn het wachtwoord dat wordt ingetikt op een andere laptop kunnen opvangen in een andere kamer. Deze tweede laptop is niet met internet verbonden.
In de demonstratie worden signalen van het toetsenbord ontvangen, die door de driver worden gegenereerd. Om wat voor soort straling het hierbij precies gaat was niet duidelijk. De onderzoekers hebben de driver van het toetsenbord aangepast voor de demonstratie, waardoor de signalen eenvoudiger kunnen worden onderschept. Dit is bij een aanval in de praktijk echter niet nodig. Onder andere standaard softwarefunctionaliteiten als een spellingscontrole zouden voldoende straling of geluiden genereren om een dergelijke aanval uit te kunnen voeren.
Nog geen aanval in het wild
De onderzoekers benadrukken op dit moment in de praktijk nog geen aanval met deze methode te hebben gezien. Dit zal naar verwachting echter niet lang meer duren. De onderzoekers verwachten niet dat het probleem wordt opgelost, aangezien apparaten altijd signalen zullen lekken die kunnen worden onderschept. Wel zouden deze signalen kunnen worden afgezwakt, wat het voor aanvallers moeilijker maakt deze te onderscheppen.
Meer over
Lees ook
Wegiz belangrijke stap voor digitale beveiliging zorgsector
De kogel is door de kerk! In navolging van de Tweede Kamer stemde ook de Eerste Kamer op 19 april 2023 vóór de Wet elektronische gegevensuitwisseling in de zorg (Wegiz). Dit houdt in dat de uitwisseling van patiëntgegevens tussen zorgaanbieders voortaan verplicht elektronisch verloopt.
DigiCert onderzoek onderstreept belang digitaal vertrouwen voor bedrijfsresultaten en klantloyaliteit
DigiCert, de leverancier van digitaal vertrouwen, heeft het onderzoek 'Digitaal vertrouwen: de stand van zaken in 2022' gepubliceerd. Daaruit blijkt dat bijna de helft van de consumenten (47%) al eens is overgestapt naar een ander bedrijf doordat ze het vertrouwen in de digitale beveiliging van een bedrijf verloren. Als bedrijven hun digitaal vert1
Continuous data protection: een eerste vereiste voor herstel van ransomware-aanvallen
De allereerste ransomware werd in 1989 op de wereld losgelaten. Deze luisterde naar de naam PS Cyborg en werd verspreid via floppy disks. De encryptie ervan kon eenvoudig ongedaan worden gemaakt. De makers vroegen hun slachtoffers om losgeld naar een postbus in Panama te verzenden. Het ging om 189 dollar in contanten.