Se ha publicado una PoC (Proof of Concept) de investigadores de la universidad Ben-Gurion donde explican cómo extraer información de un equipo aislado (no conectado a ninguna red) con un móvil debido a emisiones de radio mediante un malware desarrollado por ellos, llamado AirHopper.
El uso de tarjetas de vídeo, utilizando el cable que conecta el equipo con el monitor como antena, para la emisión de radio es un asunto poco novedoso. La novedad reside en el uso de dispositivos móviles con radio FM para perpetrar el ataque.
Comenzar diciendo que el ataque es complejo y llevarlo a cabo necesita de unas circunstancias particulares ya que requiere la instalación previa del malware en el equipo a extraer información así como en el dispositivo móvil. Además, la distancia entre el equipo y el móvil no debe ser superior a 7 m y consta de una tasa de transferencia de entre 13 bps y 60 bps lo cual va a dificultar la descarga de películas :).
El modelo de ataque consta de cuatro pasos:
- Infección del equipo a "espiar" con AirHopper
- Infección del móvil con AirHopper (aunque este paso podría no ser necesario si perteneciese al atacante).
- Establecer el canal de control (Command and Control - C&C)
- Detección de la señal y transmisión al atacante.
El primer escollo se encuentra en como infectar el equipo (fuera del objeto del artículo) con el malware ya que se supone que el atacante no tiene acceso al sistema. El informe remite a los famosos casos de Stuxnet o Agent.btz, y añadimos Flame y Duqu, para justificar la posibilidad real de ataque.
En la misma línea, se tiene que infectar el móvil (también fuera del objeto del artículo) aunque el rango de ataque es más amplio, ya que el móvil si tiene conexión con el exterior (3G, GPRS, Wireless, bluetooth o incluso la conexión física con otros dispositivos).
Una vez infectado los dispositivos, se debe establecer el canal de control a través de internet o por SMS con envío o recepción de mensajes sin aviso al usuario. El malware puede almacenar los datos si no fuese capaz de transmitir en un momento determinado para hacerlo posteriormente. Tras este paso, el malware monitorizará el canal de radio con el fin de detectar la señal deseada y su posterior decodificación.
La monitorización se puede realizar de forma continua, programada (por ejemplo dentro del rango horario del trabajador) o en función de la localización del dispositivo (vía GPS o Wireless).
Airhopper consta de dos componentes, uno dirigido a la capacidad de envío de datos del equipo aislado o el otro componente corresponde al receptor implementado en el móvil.
Debido a las limitaciones de los chip de los móviles a la hora de decodificar la señal FM, ésta sólo puede ser una señal audio, por lo que el equipo aislado tiene que codificar los datos (texto/binario) a audio y finalmente a una señal FM. De este modo el móvil tiene que hacer la decodificación contraria. Recibir una señal FM, convertirla en audio y seguidamente en texto/binario.
Los datos que se van a transmitir vía radio hacia el móvil, deben ser enviados hacía la pantalla o monitor pero éstos deben ocultarse al usuario para mantener el anonimato de la operación y para ello puede utilizar tres técnicas:
- Transmitir cuando el monitor está apagado
- Apagar el monitor (como en el caso del salvapantallas)
- Conmutar con otro equipo. Puede detectar KVM y "jugar" con esta posibilidad para la ocultación de la transmisión/datos.
- También contempla la posibilidad de usar la característica de un segundo monitor, aunque esta opción sólo es válida cuando este monitor secundario está próximo al equipo. En el caso contrario, para presentaciones, conferencias, etc. no sería válido.
Para la transmisión de datos utiliza dos modos de transmisión, raw y structured.
- Raw: Se recoge un array de bytes y se transmiten secuencialmente. No es "orientado a conexión". Ideal para texto y señales pequeñas (short signaling).
- Structured: Perfecto para binarios con capacidad de detección de errores en la transmisión (pérdida o interrupción de transmisión).
Otra característica de Airhopper es que para reducir una posible detección accidental de la señal por un receptor FM se opta por extender la banda de recepción de 76 MHz a 108 MHz (frecuencia de transmisión 80 MHz). De 76 MHz hasta 87.5 MHz es utilizada en muy pocos países.
Para concluir las contramedidas propuestas están orientadas al aspecto TEMPEST. En nuestro país, según el grado de clasificación de la información a tratar se exige una protección anti-TEMPEST (amen de medidas de seguridad física y electrónicas) determinada que tiene que ir reforzada por procedimientos acordes. Ésta se puede dar a nivel de equipo o de local (más común). Una de esas medidas es no introducir elementos electrónicos sin la debida autorización.
Artículo cortesía de Ricardo Ramos
1 comments :
Buen método, a pesar del problema de la transmisión robarse cuentas de usuario y passwords sería. rápido
Publicar un comentario