12/25/2012

Jak mogę fizycznie buchnąć Ci dane ?

Sporo osób sądzi że głównym wrogiem naszych danych cyfrowych, jest złośliwe oprogramowanie. Sporo także twierdzi, że przed kradzieżą/manipulacją tudzież podglądem naszych danych - obroni nas oprogramowanie antywirusowe.  Imho to jest podejście połowiczne, bowiem nie tylko cyfrowy dostęp może nam zagrozić... ;)

Nawet jak baaaardzo zniechęcimy napastnika bądź utrudnimy mu pracę przy ataku cyfrowym na nasze dane - to zawsze zostaje fizyczna możliwość buchnięcia (kradzieży) naszych danych. I śmiem twierdzić, że zdecydowanie łatwiej jest ukraść dane fizycznie, niźli zdalnie (cyfrowo, włamując się do systemu/sieci).

Gynvael Coldwind, w swojej prezentacji na TKonferencji w kwietniu 2012, w bardzo interesujący sposób poruszył istotę wszelkich możliwych pułapek zastawionych przez napastnika, począwszy od włączenia komputera (i nie tylko ;>), a kończąc na operacji przelewu bankowego poprzez stronę internetową.

Ja jednak, chciałbym poruszyć tylko wybrane przeze mnie formy "pułapek", które według mnie są najbardziej popularne i większość napastników je właśnie wykorzysta.

Skupiając się na fizycznych metodach - pierwsze co mi przyszło do głowy, to

  • kamerka podglądająca wpisywane klawisze, 
  • kamera termowizyjna, która wykryje wciskane klawisze oraz ich kolejność, 
  • fizyczny keylogger, przechwytujacy dane
Ale są też bardzo wyrafinowane metody, takie jak:
  • podsłuchiwanie wciskanych klawiszy... ;>
  • "mrugenlampy" - trochę abstrakcyjne, a jednak możliwe ;)
Tak więc, przejdźmy kolejno przez wszystkie metody.

Kamerka podglądająca wpisywane klawisze


Kamera rejestrująca obraz, może być już praktycznie we wszystkim - długopisie, guziku, lub w czymkolwiek sobie tylko zapragniemy. Jeśli chodzi o długopis czy guzik, to nawet administratorowi można to łatwo podrzucić, pod warunkiem że  w dobrym stopniu opanowaliśmy zabawę w socjotechnika ;)

Kamerę można umieścić nawet sprytnie w kwiatku, najważniejsze jest by była skierowana w kierunku klawiatury i zarejestrowała wciskanie klawiszy przez ofiarę, które umożliwią nam ustalenie hasła... ;)





Dobrym pomysłem jest utrzymanie takiego układu rąk podczas wciskania klawiszy, aby utrudnić podgląd z każdej strony. Jest to dosyć abstrakcyjne, ale jednak skuteczne i możliwe do wykonania. Oczywiście pod warunkiem że naprawdę mamy co ukryć ;) (zawsze też, istnieje możliwość podwójnego uwierzytelnienia)

Kamera termowizyjna


Kamera termowizyjna, to naprawdę niezłe cudo, które przynosi pożądane efekty w 100%, pod warunkiem że użyjemy jej jak najszybciej po użyciu klawiatury. 

Cała sztuka polega na tym, że owa kamera "wyczuwa" na rejestrowanym obrazie temperaturę w postaci obrazu. W skali od niebieskiego do czerwonego określa temperaturę np. klawiatury, dzięki czemu jest możliwe ustalenie hasła i kolejności wciskanych klawiszy poprzez wnioskowanie z temperatury odcisków zostawionych na danym klawiszu.

Poniżej jest przykład użycia kamery termowizyjnej w praktyce. Najpierw pokazany jest cel, który nas interesuje...

http://lcamtuf.coredump.cx/tsafe/

...a następnie, możemy za pomocą kamery zobaczyć temperaturę odcisków na poszczególnych klawiszach, dzięki czemu znamy już zakres znaków użytych w haśle oraz kolejności.

http://lcamtuf.coredump.cx/tsafe/

Dobrym pomysłem, który prawdopodobnie skutecznie zapobiegnie atakom ze strony kamer termowizyjnych, jest po prostu... zwykłe przetarcie wszystkich klawiszy ręką, które zatrze ślady linii papilarnych - przez co nie będzie możliwe wychwycenie poprawnych temperatur. Wyrobienie głupiego nawyku, poprzez zwykły ruch palcami po klawiszach - pozwoli ustrzec się.

Fizyczny keylogger


Hardware keylogger, jest małym urządzeniem, który podpina się do portu PS/2 lub USB, a do niego podłączona jest klawiatura. Wyglądem może przypominać zwykłą przejściówkę PS/2->USB lub USB->PS/2 - przez co nie każdy jest w stanie wykryć jej. Głównie przez te złudne podobieństwo.
wikipedia.pl

Ta powyżej, akurat wygląda trochę na zbyt długą prawda ? ;)

Ale czy jesteście w stanie rozróżnić te dwie poniżej ?









Ciężko, bowiem one po prostu nie przypominają keyloggerów, tylko zwykłe przejściówki.

Dlatego też sposoby na keyloggera są następujące:

>> Oglądamy obudowę z tyłu, jeśli zastanawia nas czemu klawiatura z wtyczką PS/2 została podłaczona do portu PS/2 przez przejściówke... Lub użyta została "przejściówka" na klawiaturę USB, a poniżej są wolne porty - to odłączmy od razu i zanieśmy do działu IT - zgodnie z polityką bezpieczeństwa,


>> Zawsze można też poprosić o klawiaturę na port, który jest akurat wolny w komputerze, przez co nie będziemy musieli używać "przejściówek",

>> Lub po po prostu możemy nosić ze sobą własne przejściówki ;)

Podsłuchiwanie wciskanych klawiszy


Klawisze mają charakterystyczne dźwięki. Spacja, Enter, Tab etc. - one są słyszalne ludzkim uchem, przez co jesteśmy w stanie rozpoznać je bez problemu. Natomiast ze zwykłymi literami, których jest sporo na klawiaturze - może być trochę ciężej, i bez specjalnych urządzeń podsłuchowych - jest to ciężkie ;)

Dokładna analiza klawiszy
Dźwięk klawisza + przerwy między wciśnięciami - dzięki temu napastnik jest w stanie rozróżnić wpisywane klawisze przez co możliwe jest ustalenie hasła. Jest to metoda dosyć abstrakcyjna, a jednak możliwa ;)

"Mrugenlampy"


Czytając "Ciszę w sieci" autorstwa Michała Zalewskiego, pierwszy raz usłyszałem właśnie o "Mrugenlampach".

Poniższy fragment książki, dokładnie opisuje skąd się wzięła nazwa Mrugenlampy.

Fragment "Ciszy w sieci", str. 101
Mrugenlampy to zwykłe diody LEDowe w większości urządzeń sieciowych, które pozwalają na... przechwycenie danych. Otóż migotanie diody podłączonej do nośnika danych może odpowiadać transmisji pojedynczych bitów danych po kablu. I jak sam autor pisze dalej, "...wystarczy znaleźć sposób rejestrowania aktywności z niezbędną szybkością, by teoretycznie możliwe było odczytywanie danych..."

Michał Zalewski, opisuje jak można teorie zamienić w praktykę i prostym układem opartym o port LPT, można przechwycić transmisję danych z diód LEDowych.

Nie będę się tutaj wchodził w szczegóły, bo ten temat zdecydowanie zasługuje na osobny wpis, gdzie z odpowiednim majestatem zostanie oddany hołd dla tej metody przechwytywania informacji. Naprawdę, jestem zafascynowany tą techniką - gdyż pomimo że jest trudna, to zapewnia spore możliwości ;)

I na koniec ciekawostka ;)


Ostatnio będąc na konferencji GIODO w Krakowie, dowiedziałem się o bardzo sprytnym sposobie, który trochę pasuje do tematu tego wpisu ;)

Otóż, Piotrek Konieczny powiedział o pewnej ciekawej metodzie...
źródło: niebezpiecznik.pl
Powyżej jest niepozorne zdjęcie kluczy, z przybliżeniem. Piotrek, powiedział o metodzie dorabiania kluczy za pomocą... zdjęcia.

A oto cała operacja w skrócie:

Zdjęcie kluczy -> skrypt w Mathlabie (obróbka wzoru kluczy) -> Drukarka 3D (wydrukowanie na podstawie rysunku w Mathlabie).

Mamy gotowy klucz... ;)

Tym optymistycznym akcentem, chciałbym życzyć Wam spokojnych i wesołych świąt :)

bibliografia:
{
* "Don't panic!" Przegląd zagadnienń z zakresu IT security/hackingu - by Gynvael Coldwind (Tkonferencja, Kraków 2012)
* "Cisza w sieci" Michał Zalewski
}

2 komentarze:

  1. Ciekawy wpis, ciekawy. Ale nie tylko "przejściówkowy" keylogger może być wsadzony, może być wrzucony "do" laptopa, więc i wykrycie będzie gorsze. No i myślę, że zapomniałeś napisać o prostej i (nie zawsze :P) skutecznej rzeczy - kradzieży całego sprzętu.

    OdpowiedzUsuń
    Odpowiedzi
    1. Racja, w przypadku laptopów keylogger może "przybrać formę" odbiornika myszy bezprzewodowej :)

      Kradzież całego sprzętu - alternatywa dla desperatów ;p

      Usuń

Zastrzegam sobie możliwość usuwania komentarzy, które nie są zbytnio konstruktywne pod względem merytorycznym.