image

Malware steelt data van offline computer via routerlampjes

maandag 5 juni 2017, 11:21 door Redactie, 26 reacties
Laatst bijgewerkt: 05-06-2017, 17:31

Door de lampjes van een netwerkrouter snel te laten knipperen is het mogelijk voor malware om gevoelige gegevens van computers te stelen die niet met internet verbonden zijn, zo hebben onderzoekers van de Israëlische Ben-Gurion Universiteit in een nieuw onderzoek aangetoond.

Vanwege het risico op aanvallen is het een veel gegeven advies om computers met vertrouwelijke data niet op internet aan te sluiten. Een offline computer kan echter nog steeds worden geïnfecteerd, bijvoorbeeld via usb-sticks of een kwaadwillende werknemer. Om vervolgens van een besmette offline computer toch data te kunnen stelen ontwikkelden onderzoekers de afgelopen tijd verschillende methodes, zoals het gebruik van speakers, geluid van de harde schijf, ventilatoren, radiogolven, afgegeven warmte, usb-straling, mobiele telefoons en harde schijflampjes om de gegevens direct naar de aanvaller of via een wel met internet verbonden besmette computer of smartphone in de buurt terug te sturen.

De onderzoekers demonstreren nu het gebruik van de xLED-malware. Deze malware infecteert de router waarmee een besmette computer in verbinding staat. Het kan dan bijvoorbeeld gaan om computers van een netwerk die niet met internet verbonden zijn. Om toch wachtwoorden en andere gevoelige gegevens naar de aanvallers terug te sturen laat de xLED-malware de lampjes van een besmette router knipperen. Een aanvaller met toegang tot een camera in het gebouw of met een camera op afstand kan vervolgens het gecodeerde signaal van de routerlampjes opvangen en vervolgens de data ontcijferen.

De xLED-malware kan de lampjes van de router meer dan duizend keer per seconde laten knipperen. Doordat een router vaak over zes of meer lampjes beschikt is het mogelijk om 10.000 bits aan informatie per seconde te versturen. "In tegenstelling tot netwerkverkeer dat wordt gemonitord en gecontroleerd door firewalls, wordt dit verborgen kanaal op dit moment niet gemonitord. Daardoor kunnen aanvallers data lekken en tegelijkertijd firewalls, niet met internet verbonden computers en andere datalekpreventiemethodes omzeilen", aldus de onderzoekers in het rapport (pdf). Om de aanval tegen te gaan doen ze verschillende aanbevelingen, zoals het afdekken van de lampjes of ramen en het detecteren van kwaadaardige firmware in de router.

Image

Reacties (26)
05-06-2017, 13:40 door Anoniem
Weer een geweldig voorbeeld dat vooruitgang op het gebied van IT Security research niet van universiteiten komt...
05-06-2017, 15:36 door Anoniem
. Een aanvaller met toegang tot een camera in het gebouw of met een camera op afstand

pfff... sorry hoor, maar dit is erg ver gezocht. Of je moet toegang hebben tot het gebouw (dan heb je geen hack nodig), of een camera moet op de router gericht staan.... KOM OP ZEG !!!! Dit klinkt meer naar iemand die interrestant probeert te doen... "kijk mij... ik heb een hack gevonden"
05-06-2017, 18:32 door Anoniem
Ouwe Koek,

Het is allang mogelijk om via het geluid van de koppen van een HD bestanden te kopieren naar een ander medium of via Internet.
05-06-2017, 20:31 door karma4
[Verwijderd]
05-06-2017, 20:31 door karma4
Als een kwaadwillende Hacker zo dicht bij apparatuur kan komen dam is er iets goed mis met de fysieke toegangsmaatregelen. Deze zij net zo belangrijk zo niet belangrijker dan de cyberwereld. Allemaal opgenomen in de iso27k reeks.
05-06-2017, 21:10 door Anoniem
Door Anoniem:
. Een aanvaller met toegang tot een camera in het gebouw of met een camera op afstand

pfff... sorry hoor, maar dit is erg ver gezocht. Of je moet toegang hebben tot het gebouw (dan heb je geen hack nodig), of een camera moet op de router gericht staan.... KOM OP ZEG !!!! Dit klinkt meer naar iemand die interrestant probeert te doen... "kijk mij... ik heb een hack gevonden"

Was het je nog niet opgevallen dat deze onderzoekers regelmatig met vergelijkbare "hacks" komen?
"hacks" die helemaal niks hacken maar die alleen aantonen dat je data kunt transporteren over een tweezijdig
geprepareerde verbinding. Duh, dat snapt iedereen.
Maar op deze universiteit zijn er kennelijk studiepunten mee te behalen...
05-06-2017, 21:32 door Anoniem
Om de aanval tegen te gaan doen ze verschillende aanbevelingen, zoals ... het detecteren van kwaadaardige firmware in de router.
goed idee ;)
05-06-2017, 23:07 door Anoniem
Door Anoniem:
Om de aanval tegen te gaan doen ze verschillende aanbevelingen, zoals ... het detecteren van kwaadaardige firmware in de router.
goed idee ;)
Ja,maar helaas de huiidige antivirus/antimlware-oplossingen bieden deze optie (nog) niet aan. Bitdefender heeft wel sindskort de Bitdefender box en ook hebben ze iets om het netwerk te bewaken,maar of daar de modem/router zelf ook wordt beveiligt is mij niet bekend.
05-06-2017, 23:54 door Anoniem
Door Anoniem:
Door Anoniem:
. Een aanvaller met toegang tot een camera in het gebouw of met een camera op afstand

pfff... sorry hoor, maar dit is erg ver gezocht. Of je moet toegang hebben tot het gebouw (dan heb je geen hack nodig), of een camera moet op de router gericht staan.... KOM OP ZEG !!!! Dit klinkt meer naar iemand die interrestant probeert te doen... "kijk mij... ik heb een hack gevonden"

Was het je nog niet opgevallen dat deze onderzoekers regelmatig met vergelijkbare "hacks" komen?
"hacks" die helemaal niks hacken maar die alleen aantonen dat je data kunt transporteren over een tweezijdig
geprepareerde verbinding. Duh, dat snapt iedereen.
Maar op deze universiteit zijn er kennelijk studiepunten mee te behalen...

Ik heb een legitieme vraag, wat doen jullie op Security related websites als jullie dit soort geniale ideeën zo makkelijk afpoeieren?

Of het heel praktisch is valt te bezien, maar dit is erg goed gevonden.
Misschien weer terug naar computer hobby websites? :]
06-06-2017, 08:04 door Anoniem
Uit de oude doos, aan je tx en rx lampjes van je 1k2 modem, kan je het verkeer ook afluisteren.
06-06-2017, 08:36 door Anoniem
Was het je nog niet opgevallen dat deze onderzoekers regelmatig met vergelijkbare "hacks" komen?
"hacks" die helemaal niks hacken maar die alleen aantonen dat je data kunt transporteren over een tweezijdig
geprepareerde verbinding. Duh, dat snapt iedereen.
Maar op deze universiteit zijn er kennelijk studiepunten mee te behalen...

Of zou een ander doel kunnen zijn dat er een eerste beeld van geinteresseerden in cyberspionage mee verkregen kan worden...
06-06-2017, 09:24 door Anoniem
Door Anoniem:
. Een aanvaller met toegang tot een camera in het gebouw of met een camera op afstand

pfff... sorry hoor, maar dit is erg ver gezocht. Of je moet toegang hebben tot het gebouw (dan heb je geen hack nodig), of een camera moet op de router gericht staan.... KOM OP ZEG !!!! Dit klinkt meer naar iemand die interrestant probeert te doen... "kijk mij... ik heb een hack gevonden"

Zie hier een praktijkvoorbeeld: https://youtu.be/4vIu8ld68fc
06-06-2017, 11:28 door Anoniem
Wat ik raar vind is dat een camera maar 30 beelden per seconde kan maken en de router led 1000 keer per seconde
dus mist de camera 970 beelden per seconde vreemd verhaal.
06-06-2017, 12:51 door Anoniem
Door Anoniem: Wat ik raar vind is dat een camera maar 30 beelden per seconde kan maken en de router led 1000 keer per seconde.
Ik ging er eigenlijk van uit dat ze een betere camera dan de onboard meuk van de drone gebruiken.
06-06-2017, 12:56 door Briolet - Bijgewerkt: 06-06-2017, 12:58
Door Anoniem: Wat ik raar vind is dat een camera maar 30 beelden per seconde kan maken en de router led 1000 keer per seconde…

Dat was ook mijn eerste reactie. Een interne camera staat meestal maar afgesteld op een klein aantal frames per seconde om de dataopslag niet te groot te maken. Dus vaak nog minder dan de 30 fps die je noemt. En dan gaat het alleen werken als de frequentie van de routerlampjes een stuk lager ligt als de samplingfrequentie van de camera. (Of je moet de knipperfrequentie van de ledjes foutloos kunnen synchroniseren met de FPS waarde van de camera)
Meer dan een paar bit per seconde zul je niet kunnen overdragen met een standaard camera.

Extern benaderd kun je natuurlijk een eigen high speed camera pakken en wel die hoge snelheden waarmaken.

Storend is de titel van dit stuk, die weer eens niet klopt. Er is helemaal geen malware die dit doet. Er is alleen een proof-of-concept dat je malware kunt maken die dit doet.
06-06-2017, 14:01 door Anoniem
"In tegenstelling tot netwerkverkeer dat wordt gemonitord en gecontroleerd door firewalls, wordt dit verborgen kanaal op dit moment niet gemonitord. "

Vind de eersteklas fallacie dames en heren!
06-06-2017, 14:19 door Anoniem
Even een duidelijke flaw in de case zelve; waarom is een offline-computer middels een ROUTER verbonden?
En waarom als die tegenstrijd al niet opgemerkt wordt mogen we aannemen dat de camera die via dezelfde router zal lopen wel een mogelijkheid heeft tot exfiltratie?

Zijn ze lekker diep theoretisch aan het zoeken, maar het helpt niet om zulke logische problemen dan niet te constateren... naast de basale fout dat je geen camera's richt op activiteitsindicatoren van een afgeschermd netwerkdeel... daar is het allereerst misgegaan in de voorbeeldsituatie.

Dus waar zijn deze resultaten toe te passen? Alleen daar waar ongetwijfeld meerdere koppen al de plank mis hebben geslagen...
06-06-2017, 14:22 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
. Een aanvaller met toegang tot een camera in het gebouw of met een camera op afstand

pfff... sorry hoor, maar dit is erg ver gezocht. Of je moet toegang hebben tot het gebouw (dan heb je geen hack nodig), of een camera moet op de router gericht staan.... KOM OP ZEG !!!! Dit klinkt meer naar iemand die interrestant probeert te doen... "kijk mij... ik heb een hack gevonden"

Was het je nog niet opgevallen dat deze onderzoekers regelmatig met vergelijkbare "hacks" komen?
"hacks" die helemaal niks hacken maar die alleen aantonen dat je data kunt transporteren over een tweezijdig
geprepareerde verbinding. Duh, dat snapt iedereen.
Maar op deze universiteit zijn er kennelijk studiepunten mee te behalen...

Ik heb een legitieme vraag, wat doen jullie op Security related websites als jullie dit soort geniale ideeën zo makkelijk afpoeieren?

Of het heel praktisch is valt te bezien, maar dit is erg goed gevonden.
Misschien weer terug naar computer hobby websites? :]

Goed gevonden? Dit is zowat een her-implementatie van IrDA...
06-06-2017, 14:30 door Anoniem
Ja, er zijn hier heel veel goedgelovige of naïve zielen denk ik. Deze gasten zijn van Israël en iedereen weet dat de geheime dienst van Israel de beste ter wereld is. En je moet dichtbij komen om de leds te lezen ? helemaal niet, kijk hier maar eens: https://www.youtube.com/watch?v=4vIu8ld68fc

Of hier gebruiken ze zelfs een gehackte scanner om gegevens te ontvangen: https://www.youtube.com/watch?v=vy8dKaHNB-A

En natuurlijk ga je hiermee geen Terabytes aan data stelen, maar misschien wel het admin paswoord van de DB admin !
06-06-2017, 15:55 door Anoniem
Dit deden we 20 jaar geleden ook al met modems.. RX/TX
06-06-2017, 16:07 door Anoniem
Door karma4: Als een kwaadwillende Hacker zo dicht bij apparatuur kan komen dam is er iets goed mis met de fysieke toegangsmaatregelen. Deze zij net zo belangrijk zo niet belangrijker dan de cyberwereld. Allemaal opgenomen in de iso27k reeks.

Niet per sé.
Het is perfect goed mogelijk dat je servers "zichtbaar" zijn van buitenaf, idem je router door een groot raam.
Zo weet ik verschillende bedrijven (zal ik niet noemen) waar dit het geval is.
Je hebt dus geen fysieke toegang tot de server nodig om op deze manier gegevens uit te kunnen lezen.

Best knap verzonnen,. en mogelijk dus een reden voor bedrijven om dat raam eens dicht te plakken, of verven.
06-06-2017, 17:22 door Anoniem
"De xLED-malware kan de lampjes van de router meer dan duizend keer per seconde laten knipperen..."
Dan moet de beveiligings camera ook 1000FPS zijn :S
06-06-2017, 17:42 door karma4 - Bijgewerkt: 06-06-2017, 17:44
Door Anoniem:
Niet per sé.
Het is perfect goed mogelijk dat je servers "zichtbaar" zijn van buitenaf, idem je router door een groot raam.
Zo weet ik verschillende bedrijven (zal ik niet noemen) waar dit het geval is.
Je hebt dus geen fysieke toegang tot de server nodig om op deze manier gegevens uit te kunnen lezen.

Best knap verzonnen,. en mogelijk dus een reden voor bedrijven om dat raam eens dicht te plakken, of verven.
Die heb ik ook gezien die bedrijven die hun racks tonen. Dat het gebeurt is nog geen teken dat het goed is. Fysieke toegang met een ridicoafweging is nu net een van député bij een risk assessment.
06-06-2017, 20:50 door Anoniem
Wie heeft nou info van led lampjes nodig als je de router infecteerd, dan kan je net zo goed met wifi contact maken en op afstand over TCP alle informatie inwinnen.
06-06-2017, 21:37 door Anoniem
Door Briolet: Er is helemaal geen malware die dit doet. Er is alleen een proof-of-concept dat je malware kunt maken die dit doet.

Misschien moet je eerst iets verder lezen voordat je reageert: In the new p?aper, the researchers demonstrated how LEDs functionality can be silently overridden by malware they developed (code named “xLED”), which infects firmware in the device. Once the xLED malware infects the network device, it gains full control of the LEDs that flash to indicate status.
07-06-2017, 10:11 door spatieman
OMG snel al mijn fan's afkoppelen voor deze mijn offline pc doen infecteren...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.