Nieuws
image

Laser geeft malware op 1 kilometer afstand opdrachten

vrijdag 17 oktober 2014, 15:09 door Redactie, 8 reacties

Netwerken die niet op het internet zijn aangesloten om zo het lekken van gegevens tegen te gaan lopen toch risico om te worden aangevallen als er in het netwerk in een alles-in-een-printer aanwezig is. Dat liet cryptograaf Adi Shamir gisteren tijdens de Black Hat conferentie in Amsterdam weten.

Het onderzoeksteam van Shamir, ook bekend als de S in RSA, heeft een manier ontdekt waardoor het mogelijk is om op een afstand van 1,2 kilometer via een laser opdrachten naar een besmette printer te sturen. Het lasersignaal is vergelijkbaar met morsecode, waarbij er binaire instructies worden verstuurd, zo meldt CU Info Security.

Malware die al op de printer aanwezig is kan deze opdrachten decoderen en vervolgens de opdrachten in het signaal uitvoeren, zoals het kopiëren van gevoelige gegevens. Om de gestolen gegevens vervolgens te ontvangen is het mogelijk om het licht van de scanner op een soortgelijke manier te laten pulseren. Met bijvoorbeeld een drone kunnen deze lichtsignalen op veilige wijze worden opgevangen.

Het "air-gappen" van systemen, waarbij de computers niet op het internet zijn aangesloten, is een vaak gehoord advies om malware en andere aanvallen te voorkomen. Hoewel de aanval experimenteel is, stelt Shamir dat alles-in-één-printers het gevaarlijkste onderdeel van een air-gapped-systeem kunnen zijn. Wie dit soort printers in air-gapped-omgevingen gebruikt krijgt van de cryptograaf dan ook het advies ze weg te gooien.

Reacties (8)
17-10-2014, 15:41 door mcb
The laser broadcast the equivalent of Morse code, sending binary instructions - zeros and ones - by pulsing at different intervals.... <knip>.... By analyzing these patterns, malware could decode the bits, which would translate into data. These might be instructions for the malware, for example, to seize a copy of "top_secret.pdf," or even additional malicious code, to give the malware more functionality.

For the attack, ideally the lid of the all-in-one printer's scanner would be in a raised position. But Shamir said he found that even when scanning a book, the scanner would still pick up the laser light as spill in the margins.....
Dit probleem zou te omzeilen moeten zijn door de printer in een aparte printerhok te plaatsen dusdanig dat er geen licht van buiten op kan vallen. Ook niet via een spiegel of een muur achter de printer.
Daarnaast moet voorkomen worden dat er uberhaupt malware op kan komen door de (remote) console van een fatsoenlijk pw te voorzien en dat de usb-aansluiting alleen door admins (met pw) gebruikt kan worden. Dus print-via-usb-stick moet uit.
17-10-2014, 17:13 door Anoniem
Ach een beetje regen en/of mist en de aanval zal 'uitgesteld' moeten worden; tactisch leuk bedacht maar operationeel niet echt praktisch
17-10-2014, 18:05 door SPlid
Buitengewoon knap om een printer die losgekoppeld is van het Internet toch opdrachten uit te laten voeren, vraag me alleen af: Hoe komt de malware op de all-in-one, deze was toch losgekoppeld ?
17-10-2014, 18:51 door Anoniem
aha ! nu snap ik wat de politie telkens langs de kant van weg staat te doen , zo half verscholen achter een boom of bushokje .
17-10-2014, 19:54 door Anoniem
Door SPlid: Buitengewoon knap om een printer die losgekoppeld is van het Internet toch opdrachten uit te laten voeren, vraag me alleen af: Hoe komt de malware op de all-in-one, deze was toch losgekoppeld ?

Onderschept voor aflevering, of roque agents. Als je geavanceerde malware kan (laten) maken, inc. remote laser, krijg je ook die printer wel geinfecteerd lijkt me ...
17-10-2014, 20:46 door Anoniem
Die malware is eenvoudig te installeren. De printer wordt besteld, verlaat de fabriek, logistiek wordt de printer onderschept en daar wordt de malware geïnstalleerd. Dat gebeurd ook met switches en andere apparatuur. De originele stickers worden er weer op geplakt en jij kan nooit zien dat de printer is onderschept. Het activeren van de malware is meestal het lastigste, maar er worden telkens vaker manieren bijzondere manieren getoond, en als er dan instanties zijn met onbeperkte budgetten en heel veel kennis, dan is alles weer mogelijk.
17-10-2014, 21:47 door WhizzMan
Ik heb de presentatie gezien. De malware wordt eenmalig geinstalleerd, dat moet nog wel. Daarvoor moet de aanvaller dus eenmalig toegang tot het systeem hebben, of malware via e-mail. drive-by download of USBstick of zo geinstalleerd weten te krijgen.

Je kan zelf wel verzinnen dat een webcam en met het scherm knipperen ook wel zal werken. Uiteindelijk is deze research misschien niet wereldschokkend, maar je moet er goed bij stil blijven staan dat Out-Of-Band aanvallen op hele creatieve manieren mogelijk zijn, zeker met alle randapparatuur die je tegenwoordig aan je computer hebt hangen.
17-10-2014, 22:05 door Anoniem
als je apparatuur in een high secure omgeving wilt vertrouwen dan moet die toch op zijn minst via een apart proces worden toegestaan, en dan zou het ook nog zo kunnen zijn dat er een tempest certificering nodig is. En als je het dan nog niet vertrouwd print je via een datadiode.

Vergezocht dit alles, lijkt me
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure