Hace poco veiamos la noticia via RT donde se mostraba el concepto de como vulnerar una maquina que no estuviera conectada a internet cambiando asi la forma actual de pensar que al "cortar" la red de una maquina ya estaba segura de ataques externos.
Ahora veo una entrada mas explicada y un poco practica que he querido compartir:
_____________________________________________________________________________
Se ha publicado una PoC (Proof of Concept) de investigadores de la universidad Ben-Gurion donde explican cómo extraer información de un equipo aislado (no conectado a ninguna red) con un móvil debido a emisiones de radio mediante un malware desarrollado por ellos, llamado AirHopper.
El uso de tarjetas de vídeo, utilizando el cable que conecta el equipo
con el monitor como antena, para la emisión de radio es un asunto poco novedoso. La novedad reside en el uso de dispositivos móviles con radio FM para perpetrar el ataque.
Comenzar diciendo que el ataque es complejo y llevarlo a cabo necesita
de unas circunstancias particulares ya que requiere la instalación
previa del malware en el equipo a extraer información así como en el
dispositivo móvil. Además, la distancia entre el equipo y el móvil no
debe ser superior a 7 m y consta de una tasa de transferencia de entre
13 bps y 60 bps lo cual va a dificultar la descarga de películas :).
El modelo de ataque consta de cuatro pasos:
- Infección del equipo a "espiar" con AirHopper
- Infección del móvil con AirHopper (aunque este paso podría no ser necesario si perteneciese al atacante).
- Establecer el canal de control (Command and Control - C&C)
- Detección de la señal y transmisión al atacante.
El primer escollo se encuentra en como infectar el equipo (fuera del
objeto del artículo) con el malware ya que se supone que el atacante no
tiene acceso al sistema. El informe remite a los famosos casos de Stuxnet o Agent.btz, y añadimos Flame y Duqu, para justificar la posibilidad real de ataque.
En la misma línea, se tiene que infectar el móvil (también fuera del
objeto del artículo) aunque el rango de ataque es más amplio, ya que el
móvil si tiene conexión con el exterior (3G, GPRS, Wireless, bluetooth o
incluso la conexión física con otros dispositivos).
Una vez infectado los dispositivos, se debe establecer el canal de
control a través de internet o por SMS con envío o recepción de mensajes
sin aviso al usuario. El malware puede almacenar los datos si no fuese
capaz de transmitir en un momento determinado para hacerlo
posteriormente. Tras este paso, el malware monitorizará el canal de
radio con el fin de detectar la señal deseada y su posterior
decodificación.
La monitorización se puede realizar de forma continua, programada (por
ejemplo dentro del rango horario del trabajador) o en función de la
localización del dispositivo (vía GPS o Wireless).
Airhopper consta de dos componentes, uno dirigido a la capacidad de
envío de datos del equipo aislado o el otro componente corresponde al
receptor implementado en el móvil.
Debido a las limitaciones de los chip de los móviles a la hora de
decodificar la señal FM, ésta sólo puede ser una señal audio, por lo que
el equipo aislado tiene que codificar los datos (texto/binario) a audio
y finalmente a una señal FM. De este modo el móvil tiene que hacer la
decodificación contraria. Recibir una señal FM, convertirla en audio y
seguidamente en texto/binario.
Los datos que se van a transmitir vía radio hacia el móvil, deben ser
enviados hacía la pantalla o monitor pero éstos deben ocultarse al
usuario para mantener el anonimato de la operación y para ello puede
utilizar tres técnicas:
- Transmitir cuando el monitor está apagado
- Apagar el monitor (como en el caso del salvapantallas)
- Conmutar con otro equipo. Puede detectar KVM y "jugar" con esta posibilidad para la ocultación de la transmisión/datos.
- También contempla la posibilidad de usar la característica de un segundo monitor, aunque esta opción sólo es válida cuando este monitor secundario está próximo al equipo. En el caso contrario, para presentaciones, conferencias, etc. no sería válido.
Para la transmisión de datos utiliza dos modos de transmisión, raw y structured.
- Raw: Se recoge un array de bytes y se transmiten secuencialmente. No es "orientado a conexión". Ideal para texto y señales pequeñas (short signaling).
- Structured: Perfecto para binarios con capacidad de detección de errores en la transmisión (pérdida o interrupción de transmisión).
Otra característica de Airhopper es que para reducir una posible
detección accidental de la señal por un receptor FM se opta por extender
la banda de recepción de 76 MHz a 108 MHz (frecuencia de transmisión 80
MHz). De 76 MHz hasta 87.5 MHz es utilizada en muy pocos países.
Fuente: http://www.securitybydefault.com/2014/11/extraccion-de-datos-en-sistemas.html
No hay comentarios:
Publicar un comentario