logo elektroda
logo elektroda
X
logo elektroda
REKLAMA
REKLAMA
Adblock/uBlockOrigin/AdGuard mogą powodować znikanie niektórych postów z powodu nowej reguły.

Wykorzystanie interfejsu USB do nieautoryzowanego przesyłu informacji.

ghost666 05 Wrz 2016 16:58 15750 17
REKLAMA
  • Wykorzystanie interfejsu USB do nieautoryzowanego przesyłu informacji.
    W ostatnich latach wiele osób zademonstrowało jak wykorzystać można odpowiednio przygotowany kabel USB do ataku na komputer - nawet specjalnie zabezpieczone komputery, wykorzystywane przez Amerykańską NSA nie są odporne na tego rodzaju ataki. Prezentowane metody skupiały się głównie na implementacji w kablu USB np. nadajnika radiowego. Wadą tych rozwiązań jest jednakże to, że potrzebna jest fizyczna ingerencja w kabel USB i podmienienie lub wpięcie tak przerobionego kabla do komputera. Opisywana metoda jest lepsza, ponieważ nie wymaga żadnych modyfikacja kabla USB i pracować może z dowolnym kablem wpiętym do komputera.

    USBee to oprogramowanie stworzone przez Mordechaja Guri, Matana Monitza i Yuval Elovici - naukowców z Ben-Gurion University of the Negev w Izraelu. Ten prosty program dedykowany jest do komunikacji radiowej z wykorzystaniem zwykłego portu USB z wpiętym doń kablem. W opublikowanym niedawno dokumencie badacze zademonstrowali w jaki sposób nadają oni sygnały RF z pomocą portu USB oraz to, jak można wykorzystać tą transmisję do przesyłania informacji z komputera. Transmisja odbierana może być z wykorzystaniem komercyjnie dostępnego oprogramowania i demodulowana poprzez np. GNU Radio. Jak wynika z wstępnej ewaluacji systemu USBee pozwala na osiąganie prędkości od 20 do 80 bajtów na sekundę.





    Wstęp

    Jednym z podstawowych ataków, mających za zadanie wykradzenie danych są ataki sieciowe. W większości przypadków systemy takie jak firewalle, IDS czy IPS są w stanie zapewnić dostateczną ochronę wrażliwych danych, ale w sytuacjach gdy chodzi o na prawdę bardzo istotne informacje firmy i instytucje sięgają po najwyższy poziom ochrony komputera i po prostu odpinają go od jakiejkolwiek sieci. W systemach takich nie ma żadnego fizycznego kontaktu pomiędzy komputerem czy siecią lokalną a Internetem. Czy taki system jest w pełni bezpieczny?

    W ciągu ostatnich lat demonstrowano wiele sposobów w jakie różnego rodzaju złośliwe oprogramowanie może atakować systemy odłączone od Internetu. Ataki te skupiały się na analizie promieniowania elektromagnetycznego, akustycznego, termicznego czy nawet optycznego, które to pozwalało na wydobycie danych z komputera. Przykładem takich ataków może być wykorzystanie układu nazwanego Cottonmouth. O jego istnieniu dowiedzieliśmy się w 2014 roku, dzięki Edwardowi Snowdenowi.

    Cottonmouth to specjalnie skonstruowany kabel USB, który oprócz swojej zasadniczej funkcji pełni także rolę keyloggera i nadajnika RF, umożliwiającego wyciek danych. Aktualnie istnieje wiele rodzajów podobnych systemów, komunikujących się także poprzez Wi-Fi itp. Najtańsze z nich dostępne są już za 20 dolarów. Wykorzystanie tego rodzaju urządzeń ma jednakże poważną wadę - wymagają one fizycznej ingerencji w urządzenie, aby zamontować nadajnik RF we wtyczce USB lub podmienić kabel USB. Badacze z Izraela, których układ opisany jest poniżej, rozwiązali ten problem - ich system wykorzystuje zwykły kabel USB. USBee wykorzystuje promieniowanie elektromagnetyczne, jakie generuje transmitujący kabel USB.

    Przykładowy scenariusz ataku zilustrowany jest na zdjęciu obok. W tym układzie podsłuchiwany komputer został zarażony odpowiednio spreparowanym malware, które wykorzystuje podpięty do komputera dysk USB, a raczej jego kabel, do transmisji RF na bliskim zasięgu. Takie malware, zainstalowane na komputerze, może wykradać hasła czy klucze szyfrujące dane i wysyłać je poprzez połączenie radiowe do atakującego.

    Transmisja

    Warstwa aplikacji protokołu USB zapewnia definicję punktów początkowego i końcowego transmisji, co zapewnia nadawanie danych tylko w jednym kierunku. Możliwe jest nadawanie danych OUT czyli z komputera do np. dysku USB lub IN, czyli w przeciwnym kierunku. Badacze zauważyli, że transmisja samych zer z komputera do urządzenia USB generuje zauważalne zakłócenia elektromagnetyczne w zakresie częstotliwości od 240 MHz do 480 MHz. Te częstotliwości nie dziwią, zważywszy na częstotliwość zegara transmisji USB 2.0. Zakłócenia podczas wysyłania zer wynikają z faktu, że bit '0' w interfejsie USB symbolizowany jest jako szybka zmiana kierunku płynięcia prądu w liniach D+ oraz D-. Zatem możliwa jest generacja pakietów zer w taki sposób, aby wykorzystać emisję z kabla USB do komunikacji.

    Generacja sygnału

    Algorytm generacji sygnału pozwala na stworzenie specjalnej sekwencji zer i jedynek, która pozwala na emisję zakłóceń przy zadanej częstotliwości w zakresie od 240 do 480 MHz. Częstotliwość wybierana jest z krokiem 100 kHz. Funkcja wypełnia bufor zapisu opisaną sekwencją i wysyła ją poprzez interfejs USB. Częstotliwość w funkcji zadawana jest krotnością 100 kHz; w funkcji jest następnie dzielona przez 4800 kHz (480 MHz / 100) a następnie na jej podstawie generowana jest sekwencja zer i jedynek. Dla częstotliwości wejściowej równej 200 potrzebna będzie sekwencja 24 bitów - 12 jedynek i następniei 12 zer. Do sekwencji tej dodawane są następnie inne potrzebne elementy, a całość jest zapisana w pliku. Teraz wystarczy tylko zapisać taki plik na dysku USB, a informacja zostanie wyemitowana w świat.

    Modulacja danych

    Autorzy konstrukcji wykorzystali modulację ze zmianą częstotliwości: B-FSK. Zasadniczo jej działanie polega na przełączaniu się pomiędzy dwoma dyskretnymi częstotliwościami, odpowiadającymi zeru i jedynce transmisji. Dzięki temu łatwo dało się wykorzystać opisany powyżej algorytm do nadawania.

    Transmisja danych

    Sama transmisja odbywa się wtedy, gdy dane z bufora zapisu są fizycznie wysyłane w postaci strumienia do urządzenia USB. Aby to zrealizować autorzy po prostu wykorzystali plik tymczasowy na dysku przenośnym, podpiętym do USB, do którego ich program zapisywał sekwencję stworzoną w/g opisanego powyżej algorytmu. Taki rodzaj transmisji nie wymaga żadnych dodatkowych uprawnień (admina czy roota), wystarczy uprawnienia do stworzenia pliku na dysku USB.

    Odbiór

    Odbiór sygnałów zrealizowany został z pomocą kosztującego 30 dolarów modułu RTL-SDR, czyli prostego radia definiowanego programowo, podłączonego do komputera poprzez USB. Nad odbiorem i demodulacją sygnału czuwało GNU Radio - prosty, otwarty zestaw narzędzi dedykowany do tego rodzaju zadań.

    Demodulacja sygnału B-FSK realizowana jest z pomocą szybkiej transformaty Fouriera (FFT). Odebrany sygnał cięty był na fragmenty, na których następnie realizowano FFT. Wielkość kawałków (FFTsize), na jakie pocięto odebrany sygnał, wyznaczona została za pomocą następującego wzoru:

    $$\frac {SR \times TOB}{4} = FFTsize$$


    Gdzie SR to częstotliwość próbkowania, a TOB to czas, jaki potrzebny jest na wysłanie pojedynczego bitu danych. Dalsza analiza sygnału pozwala na ocenę czy odczytany fragment sygnału to zero, jedynka czy też może nie ma w nim żadnego sygnału. Poniższy obrazek pokazuje przykładowy analizowany fragment, w którym wysłano wartość 73 (01110011b). Na jednej z osi widzimy czas w sekundach, na drugiej częstotliwość. Widać przeskakiwanie emisji pomiędzy częstotliwościami reprezentującymi 1 (wyższa) i 0 (niższa). Algorytm nadawania i demodulacji umożliwił wysyłanie danych z prędkością 80 bitów na sekundę.

    Wykorzystanie interfejsu USB do nieautoryzowanego przesyłu informacji.


    Źródło: http://cyber.bgu.ac.il/t/USBee.pdf

    Fajne? Ranking DIY
    O autorze
    ghost666
    Tłumacz Redaktor
    Offline 
    Fizyk z wykształcenia. Po zrobieniu doktoratu i dwóch latach pracy na uczelni, przeszedł do sektora prywatnego, gdzie zajmuje się projektowaniem urządzeń elektronicznych i programowaniem. Od 2003 roku na forum Elektroda.pl, od 2008 roku członek zespołu redakcyjnego.
    https://twitter.com/Moonstreet_Labs
    ghost666 napisał 11960 postów o ocenie 10197, pomógł 157 razy. Mieszka w mieście Warszawa. Jest z nami od 2003 roku.
  • REKLAMA
  • #2 15913598
    szymon122
    Poziom 38  
    Czyli aby wykonywać taką transmisję trzeba przesyłać jedynie jedynki czy oprócz nich mogą być normalne dane?
    W skrócie: Czy dysk USB może normalnie działać oprócz wysyłania danych w eter?
  • REKLAMA
  • #3 15913620
    MasMas
    Poziom 16  
    Przeciez to jest bez sensu. Na poczatku autor pisze, ze na atak podatne sa super-bezpieczne pcty z NSA, a potem pisze, ze atsk wymaga zainstalowania malware... Moze mi ktos powie jak zainstluja malware na kompie odcietym od neta i bez fizycznego dostepu do niego? W dodatku te super bezpieczne kompy sa w odpowiedni sposob ekranowane - opisuje to jakas dyrektywa w USA, ktorej nazwy nie pamietam. Wiec nawet jak cos wysla tym kablem to nie wyjdzie to poza pomieszczenie.

    Projekt ciekawy, ale edukacyjnie i dla funu, nie praktycznie.
  • REKLAMA
  • #4 15913667
    zayka
    Poziom 12  
    Witam.

    "Moze mi ktos powie jak zainstluja malware na kompie odcietym od neta i bez fizycznego dostepu do niego?"

    Od razu pomyślałem o tym samym, poza tym brak konkretnej informacji o zasięgu. Takimi newsami żyje wiele gazet a bardzo możliwe, że i MaxKolonko o tym wspomni :)

    Pzdr.[/quote]
  • #5 15913773
    ghost666
    Tłumacz Redaktor
    MasMas napisał:
    Przeciez to jest bez sensu. Na poczatku autor pisze, ze na atak podatne sa super-bezpieczne pcty z NSA, a potem pisze, ze atsk wymaga zainstalowania malware... Moze mi ktos powie jak zainstluja malware na kompie odcietym od neta i bez fizycznego dostepu do niego? W dodatku te super bezpieczne kompy sa w odpowiedni sposob ekranowane - opisuje to jakas dyrektywa w USA, ktorej nazwy nie pamietam. Wiec nawet jak cos wysla tym kablem to nie wyjdzie to poza pomieszczenie.

    Projekt ciekawy, ale edukacyjnie i dla funu, nie praktycznie.


    Normalnie, zainfekowanym pendrive?
  • #6 15913806
    szymon122
    Poziom 38  
    Skoro jest już pendrive a bardziej możliwość skorzystania z niego to równie dobrze za jego pomocą można te dane wykraść.
  • #7 15913848
    MasMas
    Poziom 16  
    Nie jestem specjalistą od security ani tym bardziej agentem rządowym USA :D Ale mam przekonanie graniczące z pewnością, że do ściśle strzeżonych komputerów nie podłączają pendrivów niewiadomego pochodzenia.

    Ja się generalnie nie czepiam, ale trochę nie lubię "sensacji" w mediach technicznych i clickbait'ów.
  • #8 15913964
    szymon122
    Poziom 38  
    Tu chyba bardziej chodzi o pokazanie, że coś takiego da się zrobić i pokazanie ewentualnej luki w bezpieczeństwie.
  • #9 15914275
    Ture11
    Poziom 39  
    A ja mam ekranowany kabel USB, co rozwiązuję problem.
  • REKLAMA
  • #10 15914317
    Konto nie istnieje
    Konto nie istnieje  
  • #11 15914398
    michał_bak
    Poziom 23  
    To oczywiste, że projekt może mieć zastosowanie tylko do badań nad nowymi technikami.
    Przechwycenie 1MB danych to prawie 3 godziny.
    Upublicznienie tej techniki to jej spalenie w zastosowaniach "szpiegowskich". Twórcy doskonale o tym wiedzą i inny cel im przyświeca.
  • #12 15915367
    CMS
    Administrator HydePark
    michał_bak napisał:
    Upublicznienie tej techniki to jej spalenie w zastosowaniach "szpiegowskich".


    Tutaj akurat, nie sposób się nie zgodzić.
  • #13 15915540
    Tommy82
    Poziom 41  
    Dyrektywa nazywa się tempest.
    Co do malware znane sa przypadki zainfekowania kompów które nie powinny być zainfekowane.
    Weźmy atak na centryfugi do wzbogacania uranu. W drugą stronę też się udawało. W usa mieli malware w centrum sterowania dronami a za chwile im przejęli drona twierdząc ze to był spoofing gps. Zakazy zakazami a ludzie ludźmi.
    Emisja ujawniająca to porblem znany już od lat 80 poprzedniego wieku.
    Natomiast pomieszczenia też muszą spełniać określone normy i trzeba by sprawdzić jak w nich jest z ekranowaniem.
  • #14 15918011
    szymon122
    Poziom 38  
    Jakoś ciężko mi w to uwierzyć, chociażby żeby podłączyć myszkę raczej będzie. Korzystanie z przenośnych nośników danych (powinno) być wyłączone systemowo.
  • #15 15918020
    EmbeddedProgramming
    Poziom 10  
    Urządzenia takie jak mysz czy klawiatura można z łatwością podłączyć na "Sztywno". Z pewnością systemowe wyłączenie czego kol wiek skutecznie zapobiegnie kradzieży danych, przez kogo kol wiek kto się na tym zna.
  • #16 15918452
    krru
    Poziom 33  
    szymon122 napisał:
    Jakoś ciężko mi w to uwierzyć, chociażby żeby podłączyć myszkę raczej będzie. Korzystanie z przenośnych nośników danych (powinno) być wyłączone systemowo.


    Ale w komputerach tempestowych kable do myszki i klawiatury są ekranowane i mają niestandardowe wtyczki. Miałem do czynienia z takimi, w których wtyczki to były DB-9 z metalowymi obudowami, przykręcane śrubkami do obudowy komputera - żeby ekranowanie było dobrze połączone z masą komputera. Certyfikowany jest komplet - komputer, monitor, klawiatura i myszka, nie wolno wymienić komponentów pojedynczo.
  • #17 15922403
    jesion40
    Poziom 27  
    szymon122 napisał:
    Skoro jest już pendrive a bardziej możliwość skorzystania z niego to równie dobrze za jego pomocą można te dane wykraść.
    Zasadnicza różnica polega na momencie dostępu. wystarczy dostęp w chwili, gdy na komputerze nie ma istotnych danych, wyciek danych nastąpi zaś później, kiedy tam się pojawią. Przekonanie o braku ryzyka wycieku danych wynikające z odcięcia od sieci z pewnością obniża poziom ostrożności.


    michał_bak napisał:
    Przechwycenie 1MB danych to prawie 3 godziny.
    A po co przechwytywać 1MB? Zauważ, że to jedynie kwestia czy przechwytujesz wszystko jak leci czy spyware wybiera istotne dane. Numer konta to kilkadziesiąt bajtów, hasło podobnie.

    Pozostaje choćby kwestia zasięgu. Tym niemniej nie sądzę, by osoby odpowiedzialne za bezpieczeństwo danych podchodziły do tego na takim luzie jak wy :D
  • #18 15922437
    golem_xiv
    Poziom 9  
    Ostatnimi laty pojawia się coraz więcej takich naukowych badań nad niestandardowym wykradaniem danych. Jakiejkolwiek działanie łatwe do implementacji jest cenne dla potencjalnych złodziei. Pamiętajmy bowiem, że spora część ataków skierowana jest na dane korporacyjne. Podnoszony tu argument prędkość przesyłu danych ma marginalne znaczenie jeśli chce się wykraść jakieś projekty umów, ofert przetargowych, czy nawet projekty wdrożeniowe w dużych firmach. Złodzieje nie szukają 3 GB plików avi tylko dokumentów, które po dodatkowym spakowaniu mogą mieć po kilkadziesiąt, kilkaset kb. Internety karmią nas informacjami o wykradaniu gigabajtów danych z różnych serwisów itp. ale tak naprawdę cennych danych nigdy nie ma tak wiele. Taka metoda ataku trwająca kilka dni czy tygodni pozwala na pobranie bardzo dużej porcji informacji. Oczywiście jej implementacja nadal jest problematyczna bo wymaga dostępu do komputera w celu zarażenia malware. To zaś może stanowić poważny problem w przypadku jednostek izolowanych nie podpiętych do jakiejkolwiek sieci. Ponadto mamy tu problem nasłuchu. Przy tak słabej emisji odbiornik musi znajdować się bardzo blisko. Problemu nie ma jeśli firma wynajmuje pomieszczenia w biurowcu, w którym można wynająć sąsiednie piętro. Co jednak z dużymi podmiotami mającymi swoje siedziby na wydzielonym terenie? Większa antena może nie wystarczyć :-), jeśli nawet, to jak przebić się przez elektroniczny szum.
    Zgadzam się więc, że upublicznienie tej techniki ma za zadanie ją spalić.
REKLAMA