Hlavní navigace

Postřehy z bezpečnosti: přenos dat s pomocí tepla

Pavel Bašta 30. 3. 2015

V dnešním díle postřehů se podíváme na přenos dat mezi dvěma počítači s pomocí tepla a tepelných senzorů, dále na útok sextortion, jehož oběti na něj určitě hned tak nezapomenou, na malware ukrývající data do faviconů, na kampaň, která kompromitovala tisíce instancí WordPressu a na řadu dalších zajímavostí.

Musím přiznat, že když jsem sledoval úvodní přednášku loňského BlackHat Europe, přišlo mi celé to povídání o tom, jak přednášející s kolegy po večerech z parkoviště ozařoval laserovým paprskem skener multifunkční tiskárny v nedaleké budově, aby si mohl s malwarem umístěným v připojeném počítači vyměňovat data, poněkud potrhlé. Nicméně dostat se k datům v systémech izolovaných od internetu je jednoznačně velkým lákadlem a různých více či méně bizarních nápadů, jak se k nim dostat, nás jistě čeká ještě dlouhá řada.

Ten poslední nápad počítá s přenosem dat s pomocí tepla. Ale pojďme pěkně po pořádku. „Air-gapped“ počítačové systémy jsou považovány za velmi bezpečné, neboť jsou zcela odděleny od Internetu i dalších počítačů, připojených do externích sítí. Jsou používány všude tam, kde se pracuje s vysoce tajnými informacemi, nebo na místech, kde jsou prováděny kritické operace, jako jsou jaderné elektrárny, zdravotnictví, či některé finančnické systémy. 

I když i do těchto systémů lze dostat malware, což ostatně v minulosti ukázal příklad Stuxnetu, stále tu z pohledu útočníka zůstává jeden nedořešený problém. Tím je případná komunikace s malware, ať již kvůli předání instrukcí od útočníka, nebo naopak kvůli přenosu ukradených dat k útočníkovi.

Nově uveřejněná technika přenosu dat nazvaná BitWhisper využívá výměny tepla mezi dvěma počítači. Využívá se zvýšené produkce tepla procesorem, grafickou kartou a dalšími částmi základní desky při zvýšeném zatížení systému. Druhý počítač pak sleduje nárůst tepla zabudovanými termálními senzory a změny v teplotě interpretuje jako nuly a jedničky. 

Pravda, přenos dat rychlostí 8 bitů za hodinu, nutnost nejdříve na oba počítače nějak dostat příslušný malware a maximální vzdálenost mezi počítači 40 centimetrů představují určité omezení, ale tvůrci této techniky předpokládají její další vylepšení, případně využití IoT (Internet of Things), či k internetu připojených topení a klimatizačních jednotek. Osobně vidím problém i v tom, že na počítačích se obvykle pracuje, což samozřejmě také vede k různým změnám v zátěži, takže to, co funguje někde v laboratorních podmínkách, nebude tak snadné převést do praxe.

Naše postřehy

Podle reportu společnosti Akamai za poslední čtvrtletí loňského roku zůstávají IP adresy přidělené do Číny na pomyslném žebříčku nejčastějších zdrojů útoků, konkrétně generují celých 41 procent útočného provozu. Nejčastějším cílem pokusů o útok je pak port 23, ten následován porty 445, 8080, 3389 a 22. Jen pro zajímavost, v rámci projektu Turris pozorujeme intenzivní pokusy o přístup z čínských IP adres, které jsou i u nás na prvním místě v počtu podezřelých pokusů o komunikaci. Nejčastější jsou pak pokusy o přístup na port 23 a 22, pokud se zaměříme pouze na čínské IP adresy, pak se jedná o porty 22, 23 a 1433 (SQL).

Společnost Trend Micro vydala zprávu popisující modus operandi „sextortion“ gangů, operujících ve východní Asii. Sextortion je spojením slov sex a extortion, což dost přesně vystihuje podstatu této hrozby. Útočníci, kteří se vydávají za ženu, se nejdříve pokusí oběť zlákat k provozování kybersexu, což jim umožní posbírat různé kompromitující materiály, jako záznamy chatu, fotografie a videa. Novinkou je, že se útočníci zároveň pokusí přesvědčit oběť, aby si nainstalovala do svého mobilního telefonu malware, který pak útočníkům pošle kompletní seznam uložených kontaktů. To útočníkům umožní vyvinout na oběť větší tlak, neboť jí pak následně mohou vyhrožovat posláním kompromitujících materiálů přímo jejím přátelům a rodině. Každá z obětí měla za neposlání kompromitujících materiálů zaplatit 1 milion KRW, tedy asi 900 dolarů.

Jakub Kroustek, analytik společnosti AVG, publikoval detailní analýzu nového kmenu bankovního trojského koně Vawtrak. Asi nejzajímavější vlastností je používání steganografie ke skrývání přenosu dat do faviconů. Kromě toho má malware implementované mechanismy pro kradení finančních informací, hesel k FTP přístupům, privátních klíčů a pro provádění bankovních transakcí přímo z počítače oběti. Varianta detekovaná společností AVG dokáže také spustit MITM útoky či získávat videa a screenshoty z kompromitovaných počítačů. Malware se nejvíce vyskytuje v České republice, USA, UK a v Německu.

Velmi nepříjemná zranitelnost byla nalezena v zařízeních ANTLabs InnGate, což jsou internetové brány umožňující připojení hostů v hotelech, nebo třeba v konferenčních centrech. K systémům je možné se bez hesla připojit přes démona rsync. Jakmile útočník systém napadne, nic mu nebrání například přidat do uživatelem stahovaného programu vlastní malware. Pokud si vybavíme operaci Darkhotel, tak lze očekávat, že takováto chyba nezůstane nevyužita.

Tisíce kompromitovaných instancí WordPressu přesměrovává své návštěvníky na exploit kit Fiesta. Malware, který se po úspěšném exploitování některé ze zranitelností nainstaluje do počítače oběti, je různý. Byl reportován jak výskyt bankovních trojanů, tak také Cryptowallu 3.0. Samotné instance WordPressu jsou napadány skrz plug-in RevSlider. Česká republika není mezi TOP 10 zeměmi. Během tohoto týdne chceme identifikovat v našem MDM weby na doméně .CZ zasažené v rámci této kampaně a zaměřit se na jejich rychlé vyčištění a záplatování.

UglyEmail je rozšíření pro Chrome, které pomůže uživatelům služby Gmail zjistit, které e-maily v jejich inboxu jsou sledovány pomocí některé ze společností pro sledování e-mailů, které svým klientům umožňují zjistit, kde a na jakém zařízení byl otevřen jejich e-mail. UglyEmail slouží pro informování uživatele o těchto praktikách, pokud si však přejete trackování pomocí pixelů zcela zablokovat, můžete použít jiné rozšíření pro chrome – PixelBlock.

Pro pobavení

Ve zkratce

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?

1. 4. 2015 13:11

robotron (neregistrovaný)

Mozna je to prakticky blbost, ale z Tveho prispevku se zda, ze jsi pointu nepochopil. Vtip je v tom, ze rizena modulace tepla je proveditelna standardnim SW a mereni teploty taky. Tudiz oba pocitace mohou byt cizi, oba pouze infikovane a ten jeden to preposila na net.

30. 3. 2015 21:59

asasdad (neregistrovaný)

teplem ... To už jsou samé blbosti. To už můžete regulovat větráček pwmkou a přenášet data zvukem, nebo blbnout nějakým motorkem a přenášet elmg polem/rušením.... nebo snímat tlak vzduchu z ventilátoru nebo v noci blikat obrazovkou a detekovat to v sousedním baráku

všechno jsou to ale jenom prkotiny, na kterých si někdo honí triko a píše o tom články "co kdyby..."

Podnikatel.cz: Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Vitalia.cz: Vláknina: Rozpustná, nebo nerozpustná?

Vláknina: Rozpustná, nebo nerozpustná?

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Lupa.cz: E-shopy: jen sleva už nestačí

E-shopy: jen sleva už nestačí

Vitalia.cz: Jak koupit Mikuláše a nenaletět

Jak koupit Mikuláše a nenaletět

Podnikatel.cz: 1. den EET? Problémy s pokladnami

1. den EET? Problémy s pokladnami

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

DigiZone.cz: Další dva kanály nabídnou HbbTV

Další dva kanály nabídnou HbbTV

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Vitalia.cz: „Připluly“ z Německa a možná obsahují jed

„Připluly“ z Německa a možná obsahují jed

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Vitalia.cz: 9 největších mýtů o mase

9 největších mýtů o mase

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte