Wi-Fi ловушка от АНБ может работать на расстоянии до 8 миль

Original author: Sam Churchill
  • Translation
image

Издание Engadget сообщает, что гуру по безопасности Jacob Appelbaum рассказал на недавнем Chaos Communications Congress, что шпионский чемоданчик АНБ включает в себя устройство под названием Nightstand, которое предназначено для Wi-Fi сетей и способно внедрять шпионские программы.

Оборудование перехватывает Wi-Fi сеть и использует packet injection для установки эксплойтов на компьютерах в сети.

Устройство, работающее на Linux, способно обследовать компьютеры по управлением Windows на расстоянии до 8 миль. Описываемое усторйство Nightstand датируется 2008 годом, и очевидно что сейчас АНБ имеет в своем арсенале более продвинутый гаджет.

image

Также АНБ имеет так называемые «активные GSM базовые станции», которые могут подменять собой реальные станции сотовых операторов.
Стоимость такой станции — 40 000$

АНБ легко может внедряться практически во все разделы iPhone, включая голосовые сообщения, листы контактов, месседжинги, историю регистраций на базах GSM, а также читать куки браузеров, историю и т.д.

Кстати, директор АНБ Keith Alexander периодически появляется на тусовках хакеров в штатах:

image

Подразделение АНБ Tailored Access Operations (TAO), работает вместе с другими секретными службами, ЦРУ и ФБР. ТАО не только изготавливает железо для шпионажа, но также разрабатывает софт для особых задач. Разработка касается внедрения бэкдоров в различные BIOSы:

image

Согласно журналу Шпигель, порядка 85000 компьютеров по всему миру имеют такие закладки.
Большая часть таких закладок внедрена командой ТАО удаленно через интернет.
Также ТАО может атаковать компьютеры в локальной сети, не имеющей доступа в интернет

image
Share post

Comments 83

    +4
    Ещё в далёком 1991 году наши преподаватели в военном училище рассказывали нам о возможности удалённого съёма информации с компьютера через электропроводку. Подумать страшно как возможности информационного шпионажа продвинулись с тех пор.
      +16
      Еще в далеком 2002 студенты-связисты на диплом проектировали «устройства связи» по отдельным ТТХ в 4 раза превышающие существующие на рынке. Страшно подумать сколько подобных технологий похоронено «на полке» у нас.
        +9
        Для устройства связи часто важна совокупность ТТХ, а то… пропускная способность может быть в 4 раза выше, а энергопотребление в 10 и стоимость в 20 раз.
        +1
        А преподаватели в военном училище рассказали, как конкретно, на физическом уровне, это происходит? Если это не военная тайна, конечно.
          +1
          Наверное примерно также, как и при акустическом методе съема, описанном в статьях 1 и 2, только по питающей линии.
          Не знаю, насколько это было правдой, но правдой было то, что для ликвидации этого канала утечки применяют механическую развязку. От питающей сети крутится мощный электрический двигатель, нагрузкой которого служит электрический генератор, обеспечивающий питание вычислительного центра.
            +7
            И та, и другая статья — полный фейспалм. Звук, издаваемый индуктивными элементами преобразователей питания, зависит от тока в нагрузке, но никак не может зависеть от ключей RSA. Более того, частотный диапазон звука (ультразвука), испускаемого дросселями, и частота, на которой обрабатывается информация в процессоре, отличаются на несколько порядков.
            То, что вам говорили преподаватели, это не более, чем байки, увы, очень популярные у военных.
            Электромашинные преобразователи (мотор + генератор), применявшиеся когда-то в вычислительных центрах, выполняют роль стабилизаторов напряжения и фильтров помех, исключающих попадание мощных помех (например, от молний) на дорогую вычислительную технику.
              0
              То, что вы написали в последнем абзаце сам дописывал в комментарий, расположенный выше, но не успел по времени, данном для исправления.
              Согласен — основное назначение подобного питания это стабилизация и помехозащита, остальное байки.
                +2
                И та, и другая статья — полный фейспалм


                Вы читали оригинальную статью? Или выводы делаете по ализару?
                Дарю ссылку: http://www.tau.ac.il/~tromer/papers/acoustic-20131218.pdf
                0
                Унформер же! 2/3 старой аппаратуры, приемо-передающих комплексов всяких и т.д. у вояк работают от 110В 400Гц (видимо чтобы прапора домой телевизоры и вентиляторы не перли)
                  0
                  400 Гц позволяли делать достаточно компактные питающие трансформаторы. Физический размер магнитопровода трансформатора обратно пропорционален частоте питающего напряжения.
                +1
              +2
              Нубский вопрос по этому отрывку:
              АНБ легко может виртуально внедряться практически во все разделы iPhone, включая голосовые сообщения, листы контактов, месседжинги, историю регистраций на базах GSM, а также читать куки браузеров, историю и т.д.

              А как же шифрование (если таковое там вообще имеет место быть)? Или под «внедряется» имеется ввиду нечто другое?
                +7
                С шифрованием у АНБ тоже все нормально ;)
                  +2
                  Нубский вопрос: что такое виртуально?

                  А это тут просто оставлю:
                  «can infiltrate virtually all areas of the iPhone, including voice mail, contact lists, instant messages, and cell tower location.?»
                  www.lingvo-online.ru/ru/Translate/en-ru/virtually
                  • UFO just landed and posted this here
                      0
                      спасибо, буду знать.
                      Поправлю
                    +2
                    Шифрование накопителей теоретически защищает от «мобильником физически завладел другой человек» и никак не защищает от атак изнутри ОС, которая имеет доступ к зашифрованному содержимому.

                    К примеру: truecrypt на домашнем компьютере бессилен против зловредов, когда зашифрованный раздел примонтирован.
                    0
                    Оборудование перехватывает Wi-Fi сеть и использует packet injection для установки эксплойтов на компьютерах в сети.

                    Интересно, что сие значит? Как можно «перехватить» сеть?
                      0
                      Видимо, прослушивает эфир и может отправлять поддельные пакеты от имени базовой станции и вашего компьютера.

                      Все страшилки про хакеров становятся правдой :)
                        +3
                        Ну, предположим, послушать эфир я могу на любом линуксе с вайфаем и установленным aircrack-ng, тут АНБ совсем не инноватор. Пакет от имени компьютера и станции тоже отправить несложно. Но все это имеет смысл только, если сеть без шифрования. Обычно это аэропорт, ресторан и т.п. В таких местах можно и стационарный перехват настроить. А если у нас WPA, то уже ничего не выйдет, ибо шифрование. Разве что АНБ умеет на лету шифровать пакеты, не зная пароля сети.
                          –1
                          Насколько я помню, WPA взламывается минут за 20.
                            +1
                            Со взломом WEP не путаете?
                              +1
                              WEP, насколько я помню, ломается налету прямо с рутованного смартфона :)

                              Таки пришлось гуглить: http://people.cs.kuleuven.be/~mathy.vanhoef/papers/wpatkip.pdf — взломать можно WPA/TKIP.
                              Используйте WPA2/AES для шифрования — уязвимости в нём пока ещё не нашли не опубликовали :)
                                0
                                Спасибо за доку, почитаю, но насколько я понял, проглядев по диагонали, там сломали TKIP, вместо которого давно везде CCMP
                          0
                          Тут предполагать ничего не нужно. Почти 100 процентов роутеров интернет в штатах идут с настройками уже. То есть на роутере с обратной стороны написаны макадреса, ип-адреса, логин и пароль к админке, SSID и WPA2-secret.
                          То есть данные по конкретному адресу уже есть у тех кому нужно.
                          Зайти конечно поменять эти параметры ничего не стоит.
                          Вопрос в том, сколько людей это делают?
                          То есть в домашнюю сеть проблемы проникнуть нет вообще, даже ничего шпионского не нужно.
                            0
                            Мда. Зашёл под видом сотрудника техподдержки и записал все данные.
                      +7
                      Сноудовщина какая-то!
                        +4
                        Разведке теперь легче жить, люди сами про себя всё оцифровывают.
                          +3
                          на расстоянии до 8 миль

                          Я на 99% уверен, что для достижения такого расстояния нужно, чтобы на том конце тоже была хорошая направленная антенна. Иначе SNR будет таким, что что-либо принять нормально будет нельзя.
                            0
                            Особенно если еще вспомнить, что 8 миль — это примерно 13км, которые будут перекрыты деревьями, домами и прочим (мы же не в чистом поле сигнал ловим, да?).
                              +8
                              полагаю, до 8 миль — как раз в чистом поле
                              иначе посчитали бы в чистом поле и анонсировали ещё большее расстояние
                                +2
                                Один маркетинг в шпионском деле!
                                  0
                                  Точно! Только в качестве инвесторов\клиентов — сенаторы, утверждающие бюджет на очередной год.
                                  А приёмчики маркетологов — те же самые.
                              +3
                              Опередили :)
                              Односторонне пакеты ещё можно закидывать, но обратной связи не будет точно.
                                0
                                Пакетная бомбардировка
                              +2
                              Информация как-то сумбурно изложена. Прямо в стиле «нет времени объяснять».
                                +3
                                Скорее всего очередной вброс на тему «как страшно жить»… Кто в теме — недоумевает, основная масса охает и осуждает АНБ.
                                  +1
                                  Кто в теме — недоумевает, что здесь такого нового и почему основная масса охает и осуждает АНБ только сейчас?
                                –1
                                Вот и плюс фрагментации андроид. Если под айфоны достаточно раз в год обновлять эксплойт-паки, то на какого-нибудь китайца с CPU MediaTek, вырезанным гугл-плеем и своей странной оболочкой у них ничего нет.
                                  0
                                  Сделают дамп всего флеша, а потом не спеша разберутся.
                                    0
                                    Насколько я понимаю, для получения контроля требуется использовать уязвимости браузера или выполняющихся сетевых сервисов. А просто так, посылая пакеты по WiFi, сдампить память не получится. Эксплойты, сколько я их видел, заточены строго под известную версию софта, часто даже хакер должен владеть бинарником, чтобы осуществить атаку. Например, в переполнении буфера хакер подставляет в адрес возврата некоторую константу 0x128AE3, и он знает, что у этого бинарника по этому адресу расположены известные байты, передающие управление на содержимое буфера. И никак иначе, неизвестный софт атаковать невозможно, особенно в полевых условиях, без права на эксперименты (неправильный пакет — уязвимый софт зависает/вылетает, дальнейшая атака невозможна)
                                    +4
                                    У какого-нибудь китайца прямо в его MadiaTek будет зашит бэкдор от китайского АНБ.
                                      0
                                      А в айфон, если следовать этой логике, вшиты бекдоры от американского АНБ (неспроста они в своей презентации на айфоны напирают).
                                      0
                                      Подробнее про эксплоит паки под айфон, пожалуйста.
                                      У Андроида root будет из коробки, прошивка врадли будет обновляться и да, Медиатек весьма распространен.
                                        0
                                        Если не через эксплойты, то каким же образом заявлен доступ этой wifi-коробки в «практически во все разделы iPhone»?
                                      +1
                                      Мы под колпаком.
                                        +8
                                        У нас есть такие приборы. Но мы вам о них не расскажем.
                                          +2
                                          Не плохо было бы узнать, куда резюме высылать :-) Должно быть очень интересно там работать.
                                            –1
                                            Я думаю, многим докторам было бы тоже очень интересно поработать, скажем, в 731-м отряде.
                                              +4
                                              Просто в телефоне сохраните.
                                                0
                                                job@nsa.gov.us ;)
                                                +2
                                                Теоретически можно сделать так:
                                                Домашний вайфай роутер типа длинка может уже иметь бэкдор, работающий по радио.Он может активировать что-то типа удаленного доступа к домашней сети уже через инет.
                                                Роутер имеет антенну до 4-5 дБ.
                                                Такой роутер, поставленный на окно, реально может работать с удаленной базой — я однажды проверял на 7 км в условиях городской застройки (какая-то зона Френеля была, конечно).
                                                В моём случае были 2 роутера обычных, один с внешней антенной и мощностью 100мвт.
                                                Представьте что будет, если бэкдор активируется по воздуху, а в чемоданчике 50 вт и нужно очень мало времени активировать этот бэкдор.
                                                Мне кажется что все реально может работать — нужно на маленькую антенну принять всего несколько байт
                                                  0
                                                  Обычно такие роутеры все-таки в Китае делают. Вряд ли там такая красивая закладка для американцев есть… Да и OpenWrt рулит.
                                                    0
                                                    А код всего openwrt Вы лично изучили и уверены, что там нет закладок?
                                                    Да хороший спец, просто прочитав код, сможет найти уязвимости и написать эксплоиты. Это расценивать как закладку или человеческую ошибку?
                                                    А что если таких специалистов целый отряд? Да и платят им за это хорошо. Да и премии за каждый красивый эксплоит.
                                                      0
                                                      А если специально разработчика своего внедрят, который будет «ошибаться» в коде?
                                                        0
                                                        Дык вроде бы вся прелесть открытого софта в том, что закладку видно. Плюс, в openwrt используются стандартные линуховые утилиты, которые могут на раз спалить закладку, если их все не подправить, а это уже сложно утаить. В закрытом ПО — наоборот. Роутер монолитен, наружу торчит только вебморда, что внутри — неясно.

                                                        Мне кажется, что если бы в openwrt была закладка, то об этом давно стало бы известно.
                                                          0
                                                          Достаточно кода, который работает глубже линукса.
                                                          В моём Android-телефоне такого кода около 100Мб. Это прошивки DSP-процессора, WiFi-модуля, и т.п.
                                                          Если посмотреть на дампы этих разделов можно найти ELF-файлы, образы FAT16 дисков и прочие любопытные штуки.

                                                          Поэтому, несмотря на «опенсорсность» железа, зачастую есть более глубокий слой, куда можно легко поместить любой троян.
                                                            0
                                                            «Опенсорсность» не железа, а прошивки. Сорри
                                                              0
                                                              А можно примеры таких образов? Было бы интересно поковырять.
                                                                +1
                                                                Да, конечно. www.sendspace.com/file/0tp1to
                                                                Для Desire Z назначение большинства разделов установлено силами xda-developers. Очень интересно, что процессор заявлен одноядерным, но на деле там 2 ядра — ARM9 для проприетарной реалтайм-ОС, обслуживающей железо, и ARM11, который видит linux и пользователь.
                                                                Для HTC One назначение firmware-разделов менее понятно, зато форматы там не бинарные, а FAT12 или FAT16
                                                      0
                                                      | Также ТАО может атаковать компьютеры в локальной сети, не имеющей доступа в интернет

                                                      Даже чисто проводные сети без wi-fi и bluetooth? Каков принцип?
                                                        0
                                                        Есть вирьё, которое делает так же. Железка просто анонсирует себя как шлюз по умолчанию в этой сети, а трафик пересылает на настоящий маршрутизатор. Получается типовой MiM.
                                                          0
                                                          А как себя можно так анонсировать, кроме ARP спуфинга, который умные свичи видят?
                                                            0
                                                            Можно ещё фальшивый DHCP запрашивающим слать. Больше никак. Ну разве что пытаться умные свитчи обмануть и превратить в глупые.
                                                              0
                                                              1) Легко пресекается даже L4 ACLем.
                                                              2) Если речь про флуд, то легко пресекается ограничением на число маков на порт. Да и «превратим в глупый свитч» не совсем соответствует действительности: обычно при переполнении таблицы mac адресов лишь пакеты на ранее не выученные адреса будут броадкаститься. Уже известные, при условии, что пакеты от хостов ходят чаще таймаута, никуда не денутся. В любом случае, это не поможет для MiTM, будет лишь пассивный сниффинг. А других способов «превратить умный свитч в глупый» помимо «похакать свитч» в голову не приходит.
                                                                0
                                                                Оно пресекается, если кто-то про это специально подумал. В значительном числе случаев там просто заводская конфигурация. Кроме того, это «одно из», то есть никто не планирует подобные шутки, как серебряные пули, которые работают всегда и везде.
                                                          –1
                                                          Авианосцы, томагавки и спецназ
                                                          +3
                                                          Всякие ломалки wifi — пофигу. Надеяться на надёжность shared-сети нелепо, так что весь трафик должен идти зашифрованным. openvpn, ssh, ssl с прибитым гвоздями сертификатом сервера.

                                                          А вот биос совсем другое дело. При наличии SMM (system management mode) биос может что угодно. Даже прервать исполнение гипервизора и отнять у него права. Так что бэкдор в биосе — это более чем серьёзно.
                                                            0
                                                            А ещё есть вполне официальные вещи типа ru.m.wikipedia.org/wiki/Active_Management_Technology
                                                              0
                                                              А официальном описании у нее нет никаких странностей. Ipmi как ipmi.

                                                              А для бекдора анонсировать что-либо не обязательно, то есть тыкать именно сюда 《вот оно, зло》не стоит.
                                                                0
                                                                Я имел в виду другое. Код из cmos bios выполняется на ЦП. А в технологии АМТ в южном мосте свой процессор со своей озу и кодом для исполнения. И этот код можно передать удаленно по сети.
                                                                Если здесь официально всё рассказано, то сколько всего ещё должно быть «в заначке»?
                                                                  0
                                                                  У ipmi никакого различия с этим нет, кроме мелких архитектурных отличий (firmware передаётся через dma). Что такое cmos bios я не понимаю, потому что cmos — это энергонезависимая память для часиков и настроек.

                                                                  То есть это штатная технология. И для бэкдора по этой причине плохо годится, все знают про его существование и на него пристальное внимание. Вот про олдскульный SMM знает меньше, а возможностей тут едва ли не больше.
                                                                    0
                                                                    ОК, «ПЗУ». И часто smm-код в виде зашифрованной прошивки лежит внутри прошивки bios.
                                                                      0
                                                                      А откуда мысль про зашифрованность? Вроде бы речь шла про signed, нет?
                                                                        0
                                                                        Насколько я знаю, проблема с возможными закладками в smm-коде в том, что он зашифрован и его не изучить толком. Чего не скажешь о просто подписанном коде. Его сложнее изменить, а не изучить.
                                                                          0
                                                                          Откуда вы это знаете? Я источник информации прошу. Во всех описаниях smm идёт речь про подписанный код и не более.
                                                                            0
                                                                            Ну я в этом не спец, данную тему глубоко не копал. Говорю о том, что помню из своих каких-то давних копаний в биосе своей мамки. Давно это было. С тех пор вон и «описания smm» появились… Тогда это была вещь в себе.
                                                                            Лучше вы линки на статьи про внутренности smm дайте. Полезнее будет.
                                                                              0
                                                                              Никаких особых внутренностей там нет. Приходит сигнал на ногу — процессор прекращает исполнение текущего кода, начинает исполнять код биоса. ОС не может маскировать эту ногу или поменять адрес вызова, исполняющийся код имеет право на всё.

                                                            0
                                                            Вот им в АНБ наверное грустно: у них столько разработок, что любая конференция что хакеров, что антихакеров, просто будет слюни пускать от сотой доли их разработок, а рассказывать-то — нельзя!
                                                              +3
                                                              Поэтому они устраивали внутренние конференции, рисовали красивые слайды…
                                                              А потом пришёл поручик Сноуден и всё опошлил.
                                                              0
                                                              Мне вот интересно, как они собрались взламывать компьютер, не подсоединенный к интернету? Прямо на порт Ethernet через 13км лазером засылать пакеты?
                                                                0
                                                                Сети не ограничиваются одними «вашими интернетами».

                                                              Only users with full accounts can post comments. Log in, please.