Как стать автором
Обновить
«Лаборатория Касперского»
Ловим вирусы, исследуем угрозы, спасаем мир

Security Week 35: перехват клавиатуры через WiFi, атака на банкоматы с помощью EMV-чипа, новый IoT-ботнет

Время на прочтение 5 мин
Количество просмотров 15K
Перехват клавиатурного ввода постепенно становится моей любимой категорией ИБ-новостей. Я уже писал о серии исследований компании Bastille Networks: эти ребята подробно изучили механизмы взаимодействия беспроводных мышей и клавиатур с приемниками и выяснили, что у ряда производителей дела с безопасностью обстоят не очень хорошо. Можно вспомнить еще более древнюю новость про перехват клавиатурного ввода с помощью анализа видеозаписи.

Нравятся мне они тем, что представляют собой (пока) теоретические исследования потенциальных угроз будущего. На практике пароли крадут кейлоггерами, делают это массово, но это другая тема. Новое исследование (новость и PDF) коллектива американских и китайских ученых показывает, как можно перехватывать клавиатурный ввод, имея доступ к низкоуровневым данным о работе Wi-Fi роутера.

Не, ну круто же, правда? Эксперты использовали обычный роутер TP-Link WR1043ND, а для перехвата требовалось, чтобы роутер работал в стандартах WiFi 802.11n/ac. Конечно, требовался доступ к роутеру, что, как мы знаем, достаточно легко обеспечить — из-за уязвимостей, или из-за неправильной конфигурации. Анализируя данные Channel State Information, они смогли отслеживать даже небольшие движения в зоне действия роутера. Все благодаря тому, что CSI содержит в себе данные о качестве передачи данных, которые обычно используются для одновременной работы нескольких антенн (MIMO), переключения на иные частотные диапазоны и изменения мощности радиосигнала.

Инсинуации под катом. Все выпуски дайджеста — тут.

Вот что получается, если совсем просто. Человек (кот, цветочный горшок) перемещается по помещению, что влияет на качество передачи данных. Роутер анализирует эти данные в соответствии со стандартом и изменяет параметры передачи так, чтобы поддерживать необходимую скорость. Оказалось, что если человек просто сидит за компьютером и набирает текст, мельчайшие флуктуации параметров Channel State Information позволяют идентифицировать нажатие какой-то определенной клавиши. В общем и целом, это все. Дальше теория разбивается о суровую реальность, но не полностью. Во-первых, нужно взломать роутер — ок, с этим разобрались, возможно. Во-вторых, нужно откалибровать систему — исследователи предлагают делать это, например, с помощью чата с пользователем: когда на другой стороне становится известно, какие символы набраны, и появляется возможность сравнить их с данными от роутера.

Целевые значения параметров в зависимости от того, какая буква нажимается на клавиатуре.

В-третьих, сбить тонкую настройку может что угодно, хоть соседи, хоть проезжающая мимо машина. Поэтому в исследовании делается оговорка, что успешный эксперимент проводился в контролируемых условиях (минимум внешних факторов). Точность, тем не менее, феноменальная: 97,5% вероятности успешного перехвата. В реальных условиях, как предполагают авторы работы, вероятность упадет до 77,5%, но это тоже немало. Особенно если иметь возможность анализа данных в течение долгого времени, а она в подобном сценарии имеется.

Мне кажется, таких «открытий» будет все больше, а когда-то (не скоро), увы, такие страшилки начнут воплощаться на практике. Сложность компьютерных систем растет, используются они везде и в огромных количествах, а количество людей, знающих о том, как это все на самом деле работает — не увеличивается. В общем-то и незачем: давно прошли времена, когда «пользоваться компьютером» и «программировать» означало примерно одно и то же. Кроме того, растет объем информации, по которой можно идентифицировать поведение человека. Появляются новые системы, способные вылавливать крупицы смысла из казалось бы полного хаоса. Уже сейчас «перехват клавиатуры через WiFi» смотрится странновато, но то ли еще будет. Потому исследование и интересное.

Вредоносное ПО RIPPER грабит банкоматы с использованием подготовленных EMV-чипов

Новость

В прошлом году в США широко обсуждалась тема перехода на карты с чипом (известным как EMV), для защиты от растущего объема связанного с финансами кибермошенничества. В отличие от России или Европы, в штатах до сих пор повсеместно используют карты с магнитной полосой, а это по современным меркам совершенно небезопасно — и клонировать легко, и украсть информацию легко, и вообще. EMV пока расценивается как надежная технология. Эта новость… Нет, эта новость не про то, что EMV взломали. Есть вероятность, что произошел один шажок в эту сторону.

Недавно сообщалось о довольно массовой атаке на банкоматы в Таиланде, благодаря которой из них было похищено чуть меньше 400 тысяч долларов. Исследователи из компании FireEye предполагают, что атака могла быть связана с обнаруженной ими вредоносной программой, известной как RIPPER. Для проведения атаки сначала необходимо было заразить банкомат. А вот триггером для срабатывания зловреда являлся специально подготовленный чип на карте. То есть: вставляем карту, вредоносное ПО распознает ее как свою и открывает Святой Грааль. Грааль оказался несколько прижимистым, и более 40 купюр за один заход не давал — преступникам пришлось побегать. EMV — основное отличие этой атаки от аналогичных, известных уже года с 2009, например можно почитать про Skimer.

Этот пример финансовой кибератаки подтверждает, что на стороне пользователя технология EMV надежна. А вот на стороне розничной сети или банка возможны нюансы. Инфраструктура современных платежных систем постоянно находится под атакой, и, так как речь идет о реальных деньгах, периодически находятся слабые места где-то на пути движения данных от банкомата или терминала, и до собственно банка. И еще: сам факт использования чипа говорит о том, что на той стороне эту технологию активно проверяют на слабые места.

Ботнет из сотен тысяч уязвимых IoT-устройств используется для DDoS-атак

Новость. Исследование Level 3

То, что домашние автономные устройства, такие как веб-камеры или цифровые телеприставки, массово взламываются и на них активно строятся ботнеты — это уже, к сожалению, не новость. По-прежнему обсуждается, можно ли причислять такие устройства к понятию Интернета вещей, но собственно говоря, почему бы и нет? По мне, так IoT будущего будет состоять все же из более мелких и многочисленных устройств, причем на разных платформах, в то время как сетевые веб-камеры — это почти полноценные компьютеры, чаще всего работающие на почти полноценном Linux. В остальном критерии выполняются: владельцы этих устройств рассматривают их как черный ящик, который достаточно включить и забыть, и даже не думают о том, насколько их устройство защищено.


Тем не менее исследование компании Level 3 поражает размахом обнаруженного семейства ботнетов: утверждается, что организаторы атаки контролируют сотни тысяч устройств. Интересны и некоторые технические детали, особенно в свете неизбежного зоопарка разностандартных IoT-устройств в будущем. Вроде как отличия в софте и железе должны усложнять работу взломщиков. Но нет. Во-первых, в исследовании не уделяется внимание методам взлома — там и взлома-то не происходит. Дефолтные пароли, смотрящий наружу Telnet — наше все (но и вредоносное ПО тоже используется). Во-вторых, приводится пример механизма загрузки и запуска «полезной нагрузки». Строители ботнета вообще не заморачиваются. Они начинают по очереди загружать на новое устройство сборки своего кода под разные платформы, пока одна из них не запустится.

Определенно, первым шагом к построению безопасного IoT должен стать отказ от стратегии «всем можно все» — ну, когда чайник у вас в локальной сети имеет столько же прав, сколько и вы сами.

Что еще произошло

Ещё один способ эксфильтрации данных из air-gapped систем, но еще более замороченный, чем через вращение кулера.

68 миллионов паролей утекло у Dropbox в 2012 году, а теперь утекло в сеть. Правило смены пароля минимум раз в два года снова подтвердилось.

И еще у Opera пароли возможно утекли.

Древности:


Семейство «Datacrime»

Нерезидентные очень опасные вирусы. При запуске зараженного файла стандартно инфицируют не более одного .COM- или .EXE-файла во всех текущих каталогах всех доступных дисков. В зависимости от таймера и своих внутренних счетчиков выдают на экран текст:

«Datacrime-1168,-1280» — «DATACRIME VIRUS RELEASED 1 MARCH 1989»
«Datacrime-1480,-1514» — «DATACRIME II VIRUS»

И после этого пытаются форматировать несколько треков винчестера.

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 28.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
Теги:
Хабы:
+19
Комментарии 14
Комментарии Комментарии 14

Публикации

Информация

Сайт
www.kaspersky.ru
Дата регистрации
Дата основания
Численность
5 001–10 000 человек
Местоположение
Россия