image

Onderzoekers laten malware via infraroodcamera communiceren

woensdag 20 september 2017, 14:31 door Redactie, 5 reacties
Laatst bijgewerkt: 20-09-2017, 17:28

Onderzoekers van de Israëlische Ben-Gurion Universiteit hebben een nieuwe manier ontwikkeld om met besmette systemen te communiceren die niet op internet zijn aangesloten, namelijk het gebruik van beveiligingscamera's met infrarood. De onderzoekers ontwikkelden een malware-prototype genaamd aIR-Jumper (pdf) die via een infraroodcamera zowel data kan versturen als nieuwe opdrachten kan krijgen.

Vanwege het risico op aanvallen is het een veel gegeven advies om computers met vertrouwelijke data niet op internet aan te sluiten, ook wel een air-gap genaamd. Een offline computer kan echter nog steeds worden geïnfecteerd, bijvoorbeeld via usb-sticks of een kwaadwillende werknemer. Om vervolgens van een besmette offline computer toch data te kunnen stelen ontwikkelden onderzoekers de afgelopen tijd verschillende methodes, zoals het gebruik van speakers, geluid van de harde schijf, ventilatoren, radiogolven, afgegeven warmte, usb-straling, mobiele telefoons, harde schijflampjes en routerlampjes om de gegevens direct naar de aanvaller of via een wel met internet verbonden besmette computer of smartphone in de buurt terug te sturen.

AIR-Jumper introduceert een nieuw communicatiekanaal, namelijk beveiligingscamera's met infrarood. Een aanvaller moet eerst een computer binnen organisatie zien te infecteren. Vervolgens moeten beveiligingscamera's in de organisatie worden overgenomen. Hierna kan de malware wachtwoorden, encryptiesleutels en andere gevoelige data moduleren, encoderen en via de infraroodled's versturen. Een aanvaller die zicht op de beveiligingscamera's heeft kan deze signalen opvangen en decoderen.

Een andere mogelijkheid is om de malware via de beveiligingscamera's te bedienen. De aanvaller stuurt in dit geval opdrachten via infraroodsignalen naar de camera's. De signalen in de videostream die de camera's hebben opgenomen worden door de malware op het netwerk onderschept en gedecodeerd. Het exfiltreren en infiltreren kan worden gecombineerd om een 'air-gapped' communicatiekanaal tussen het gehackte netwerk en de aanvaller op te zetten, zo laten de onderzoekers weten.

Image

Het stelen van data kan met een snelheid van 20 bit per seconde per camera, het versturen van opdrachten naar de malware kan met een snelheid van meer dan 100 bit per seconde per camera. De communicatie kan op een afstand van honderden meters tot kilometers plaatsvinden. Hoe meer camera's er worden gebruikt, hoe sneller de dataoverdracht. Organisaties die maatregelen tegen dergelijke aanvallen willen nemen kunnen ramen afschermen, de led's bedekken of losmaken, een infraroodfilter toevoegen of op verdacht verkeer van en naar de camera's te monitoren.

Image

Video - leaking data via security cameras. Bron: YouTube

Reacties (5)
20-09-2017, 15:00 door Anoniem
Behoorlijk foute situatie heb je dan. Een te beveiligen computer neer zetten, maar het camerasysteem dat de beveiliging doet, koppelen aan internet (direct of via een management systeem)?

Dat moet je al niet willen, omdat je onbevoegden niet eens de informatie wilt geven over de systemen die je hebt, waar ze staan en dat ze vertrouwelijk zijn. Vergeet niet, dat je via die camera mogelijk ook al kunt "schoudersurfen" en er dus al informatie (data, user-id's en wachtwoorden) gelekt kunnen worden.
20-09-2017, 17:24 door Anoniem
Door Anoniem: Behoorlijk foute situatie heb je dan. Een te beveiligen computer neer zetten, maar het camerasysteem dat de beveiliging doet, koppelen aan internet (direct of via een management systeem)?
Yup. Klinkt als behoorlijk vergezocht inderdaad.

Verder ergeren ik me vooral aan dit stukje want het vertelt maar niet hoe de dataoverdracht precies gebeurt. Het is maar techniek hoor, geen magie. Je moet dus kunnen vertellen welk ding wat doet om de informatie "in de lucht te gooien". En ik haal het er zo niet uit. Dat maakt dat het alleen maar meer vergezocht klinkt. Minpunten voor de redactie.
21-09-2017, 08:57 door Anoniem
Door Anoniem: Behoorlijk foute situatie heb je dan. Een te beveiligen computer neer zetten, maar het camerasysteem dat de beveiliging doet, koppelen aan internet (direct of via een management systeem)?
Nee, het gaat om pc's die juist geen netwerkverbinding hebben, maar wel toegang tot een of meer IR-camera's. De pc moet besmet worden met malware, en daarna is infraroodcommunicatie mogelijk tussen de pc en de aanvaller via een camera. Infraroodsignalen die de aanvaller stuurt verschijnen op de camerabeelden en kunnen daar door de malware worden opgepikt. De malware kan signalen aan de aanvaller sturen via de infraroodleds die de camera gebruikt om zijn omgeving te verlichten.
21-09-2017, 12:20 door Briolet - Bijgewerkt: 21-09-2017, 12:20
Het enige wat in de praktijk niet klopt is dat de IR lampjes van de camera onzichtbaar zijn voor het menselijke oog. De 850 nm ledjes die meestal gebruikt worden zenden een klein deel van hun licht uit in het rode deel van het spectrum. Je ziet dan ook meestal wel een rode gloed van die ledjes.

Als je vervolgens met 20 bit per seconde data verzend, is dat volgens mij in een frequentie bereik waarbij het oog dit als flikkeren kan waarnemen. (Net als bij tl buizen)

Er bestaan wel 940 mn ledjes die helemaal niets in het rood uitzenden, maar die zijn veel minder energiezuinig in gebruik waardoor je dus meer leds moet gebruiken voor dezelfde lichtopbrengst.
21-09-2017, 15:04 door Anoniem
Verder ergeren ik me vooral aan dit stukje want het vertelt maar niet hoe de dataoverdracht precies gebeurt. Het is maar techniek hoor, geen magie. Je moet dus kunnen vertellen welk ding wat doet om de informatie "in de lucht te gooien". En ik haal het er zo niet uit. Dat maakt dat het alleen maar meer vergezocht klinkt. Minpunten voor de redactie.

In plaats van jezelf te ergeren, zou je ook de moeite kunnen nemen om de paper te lezen, zodat je wel snapt hoe de dataoverdracht precies gebeurt. Minpunt voor je luiheid.... :)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.