Há uma nova técnica de espionagem que permite obter dados importantes de um computador a partir da luz LED do disco rígido, utilizando um drone. Foi desenvolvida pelos investigadores do laboratório de cibersegurança da Universidade de Ben-Gurion do Neguev, em Berbesá, Israel, e pode afectar até os computadores que estão fisicamente separados de uma rede considerada insegura – uma técnica de segurança conhecida como air gap.

A equipa de investigadores criou uma técnica que utiliza um drone para captar o piscar das luzes LED do disco rígido de um computador – uma luz que existe em quase todas as máquinas Linux e Windows. Ao analisar o piscar das luzes – que, dependendo da velocidade e do padrão, podem ser descodificadas quase como um código morse –, os hackers são capazes de aceder a informações sensíveis guardadas na máquina, como palavras-passe de desencriptação (entre outras coisas), mesmo que o computador esteja fisicamente isolado de uma rede que possa ser tida como insegura.

O air gap, ou a separação de um computador de uma rede, seja fisicamente ou por encriptação, era considerado (até agora) uma das maneiras mais eficazes de aumentar a segurança de uma máquina. O computador, ao estar completamente isolado, impediria, em teoria, o acesso a ele por parte de hackers. Mas os investigadores da Universidade de Bem-Gurion vieram agora detectar uma falha nesse sistema. Se realmente um hacker quiser atacar um computador que esteja isolado, pode fazê-lo com a ajuda de um drone.

Mas há algo que deve ser feito primeiro: o atacante deve conseguir infectar o computador com um malware (um software malicioso), por exemplo, pagando a alguém com acesso directo à máquina para a infectar com um dispositivo USB ou um cartão SD.

Este software malicioso vai obter acesso à máquina, podendo manipulá-la. No entanto, até agora, não se conseguia contornar a questão da transmissão de informação a partir de um computador que não está ligado a uma rede.

“Se o atacante tiver uma base no sistema air-gapped, o software maligno pode continuar a enviar informação ao atacante”, disse Mordechai Guri, investigador da Universidade Ben-Gurion, à Wired. “Descobrimos que um pequeno indicador LED de um disco rígido pode ser controlado até 6000 piscadelas por segundo. Podemos transmitir dados de uma maneira muito rápida e a uma distância muito grande”, explica o investigador.

A luz de um disco rígido pisca sempre que um programa tenta aceder ao disco rígido e sempre que se arquiva informação. Chega, inclusive, a piscar quando o computador está em estado de hibernação. “O LED está sempre a piscar, mesmo quando está a pesquisar e a arquivar, por isso ninguém suspeita, mesmo durante a noite”, adiantou Guri. “Na verdade, é algo muito secreto.”

O programa de software malicioso pode fazer com que o LED pisque durante menos do que um quinto de milissegundo – e esses sinais rápidos podem ser usados para enviar mensagens para uma variedade de câmaras e sensores de luz, a partir de um computador infectado. Durante os testes, a equipa conseguiu mover dados à velocidade de 4000 bits por segundo, ou um megabyte a cada meia hora. Até pode nem parecer muito – e não é –, mas é rápido o suficiente para roubar uma senha de encriptação numa questão de segundos.

É aqui que o drone entra em acção. O piscar das luzes LED pode ser visto à distância (com um telescópio potente, por exemplo), mas a utilização de um drone oferece a possibilidade de se poder gravar o piscar das luzes LED e repetir a gravação até à exaustão, conseguindo retirar o máximo de informação possível.

A câmara utilizada na gravação tem de ser adequada. Uma vez que o malware pode fazer com que a luz pisque de forma tão breve que se torna indetectável pelo olho humano, a câmara deve ser rápida o suficiente para a captar. Neste caso, os investigadores perceberam que um sensor fotodíodo da Siemens era a melhor escolha, porque era o que melhor captava a luz de alta frequência, o que lhes permitiu chegar a uma velocidade de transmissão na ordem dos 4000 bits por segundo.

Mas há boas notícias: é possível proteger um computador deste tipo de ataques. Os investigadores sugerem colocar os computadores mais sensíveis em salas sem janelas, ou proteger as janelas com um tipo de vidro que oculte sinais de luz. Como alternativa (ou em simultâneo), pode ser usado um software que insira sinais aleatórios no piscar da luz LED, criando ruído e entropia e impossibilitando o trabalho dos hackers.

Mas há uma maneira muito mais simples e óbvia – e que, na verdade, já é utilizada pelos mais cautelosos nas câmaras web dos computadores portáteis. Os hackers não conseguem descodificar os sinais que não conseguem ver. Por essa razão, a maneira mais simples de protecção em relação a ataques deste tipo é mesmo tapar a luz LED com uma fita-cola escura. Vale a pena lembrar, todavia, que a maioria dos computadores que se usa diariamente está ligada a uma rede e, por isso, mais vulnerável.

Apesar de esta ser uma das técnicas mais furtivas conhecidas para obter informação de computadores isolados, não é a primeira vez que os hackers tentam aceder a informações deste tipo. Há quase uma década, os malware conhecidos como Stuxnet e Agent.btz infectaram os sistemas militares norte-americanos e provaram que o isolamento não afasta os hackers mais persistentes. É que até os sistemas mais protegidos precisam de se ligar à rede de vez em quando, para receber actualizações de código e dados novos, o que os torna, inevitavelmente, vulneráveis a ataques maliciosos.