03 agosto 2009

Video Poisoning... ya es posible

En multitud de películas de espionaje, robos, etc,... hemos visto alguna vez cómo el "especialista de seguridad informática" que contratan en el equipo para el golpe, engaña a los vigilantes de seguridad física, que están viendo en sus monitores una secuencia repetida del paisaje que vigilan, sin que pase nada de nada. Mientras tanto, el cuerpo operativo del equipo está desvalijando el objetivo cómodamente (bueno en general, van contrarreloj también porque la ronda del guardia toca a esa hora, o porque los rayos láser que queman la piel, peinan la zona cada minuto o -pon aquí tu medida de seguridad Sci-Fi favorita-).

Bueno pues esa secuencia de acciones tan bien compenetrada entre los distintos miembros del equipo que te hace decir en el cine: "Sí hombre sí... quién se cree eso?" a partir de ahora podrás decir que sabes que es completamente posible (al menos el engañar a los vigilantes de las cámaras de seguridad, en determinadas condiciones).

Investigadores de Sipera System Viper Labs han demostrado que es posible modificar el streaming de video que envía una cámara y meter otro streaming de video completamente diferente o simplemente una imagen fija, de manera que eso permita, a modo de tapadera, cometer las fechorías que se deseen. Evidentemente si se sustituye la escena original por una película, los guardias sabrán que algo raro sucede; sin embargo, si el cambio es una foto de la misma habitación, nada habrá que sospechar.

¿Cómo decís que se hace esto?

Para ello, Jason Ostrom, director de Viper Labs, indica que hemos de tener acceso físico a la red de cámaras de seguridad IP del objetivo (o al menos una roseta de red en la que no haya muchas restricciones de NAC. El grado de efectividad del ataque depende de la configuración de la red, por supuesto).

Viper Labs mediante dos programas gratuitos, UCSniff para capturar un streaming de video de un dispositivo IP (previa conversión a formato H.264 y luego a AVI); y VideoJak para introducir el nuestro video anterior en un streaming haciendo envenenamiento ARP.

Los operadores de seguridad física no se darán cuenta del cambio, aunque los operadores de red, posiblemente sí que detecten un aumento importante de tráfico ARP (necesario para suplantar a la auténtica cámara de seguridad). Siempre he defendido que teniendo todas las tecnologías integradas bajo un anillo común como es el IP (Internet Protocol), los operadores de seguridad física y lógica, no deberían ser entes separados, sino poder hacer sinergia entre ambos para detectar ataques que afectan a lo físico apoyándose en tácticas de ataques de red. En dicho post, concluimos que la integración de los sistemas de monitorización IP en la infraestructura de la empresa en vez de utilizar cableado físico independiente, daría lugar a posibles ataques, pero... la comodidad e integración conlleva sus riesgos que hay que asumir.

Si queréis ver la noticia original, así como un video en el que se muestra un PoC del ataque, podéis hacerlo aquí

2 comments :

Santiago dijo...

hey que buena entrada.

y pues lo que dices es verdad , no separar lo logico de lo fisico, pero para ello se necesitaria que los vigilantes supieran mandejar herramientas de red, o algun programa con interfaz grafico que anuncie cambios en la tabla arp

Lorenzo Martínez dijo...

Gracias Santiago. En general, podría mejorarse la vigilancia, centralizando en la misma ubicación física ambos sistemas de control, el lógico y el físico, o lanzando una alerta desde el centro de monitorización lógica al físico cuando hubiera un aumento desmedido de tráfico ARP. Incluso el propio guardia de seguridad podría acercarse a la roseta donde se genera dicho tráfico e interrogar al sospechoso. ¿Veo demasiadas películas de espionaje, verdad? :D