Puede sonar espeluznante e irreal, pero los piratas informáticos también pueden filtrar datos confidenciales de su computadora simplemente cambiando el brillo de la pantalla, reveló una nueva investigación de ciberseguridad compartida con The Hacker News.
En los últimos años, varios investigadores de ciberseguridad demostraron formas innovadoras de filtrar de manera encubierta los datos de una computadora con aislamiento de aire que no puede conectarse de forma inalámbrica o física con otras computadoras o dispositivos de red.
Estas ideas inteligentes se basan en explotar las emisiones poco notadas de los componentes de una computadora, como la luz, el sonido , el calor , las frecuencias de radio o las ondas ultrasónicas , e incluso utilizar las fluctuaciones de corriente en las líneas eléctricas.
Por ejemplo, los posibles atacantes podrían sabotear las cadenas de suministro para infectar una computadora con espacio de aire, pero no siempre pueden contar con una información privilegiada para llevar sin saberlo un USB con los datos fuera de una instalación específica.
Cuando se trata de objetivos de alto valor, estas técnicas inusuales, que pueden parecer teóricas e inútiles para muchos, podrían desempeñar un papel importante en la extracción de datos confidenciales de una computadora infectada pero sin aire.
¿Cómo funciona el ataque de brillo con espacio de aire?
En su última investigación con colegas académicos, Mordechai Guri , jefe del centro de investigación de seguridad cibernética de la Universidad Ben Gurion de Israel, ideó un nuevo canal óptico encubierto mediante el cual los atacantes pueden robar datos de computadoras con espacios de aire sin necesidad de conectividad de red o contacto físico con los dispositivos. .
«Este canal oculto es invisible y funciona incluso mientras el usuario está trabajando en la computadora. El malware en una computadora comprometida puede obtener datos confidenciales (por ejemplo, archivos, imágenes, claves de cifrado y contraseñas) y modularlos dentro del brillo de la pantalla , invisible para los usuarios «, dijeron los investigadores.
La idea fundamental detrás de la codificación y decodificación de datos es similar a los casos anteriores, es decir, el malware codifica la información recopilada como una secuencia de bytes y luego la modula como señal ‘1’ y ‘0’.
En este caso, el atacante utiliza pequeños cambios en el brillo de la pantalla LCD, que permanece invisible a simple vista, para modular de forma encubierta la información binaria en patrones similares a códigos Morse
«En las pantallas LCD cada píxel presenta una combinación de colores RGB que producen los colores requeridos color compuesto. En la modulación propuesta, el componente de color RGB de cada píxel cambia ligeramente «.
«Estos cambios son invisibles, ya que son relativamente pequeños y ocurren rápidamente, hasta la frecuencia de actualización de la pantalla. Además, el cambio general de color de la imagen en la pantalla es invisible para el usuario».
El atacante, por otro lado, puede recopilar este flujo de datos mediante la grabación de video de la pantalla de la computadora comprometida, tomada por una cámara de vigilancia local, la cámara de un teléfono inteligente o una cámara web y luego puede reconstruir la información extraída utilizando técnicas de procesamiento de imágenes.
Como se muestra en la demostración en video compartida con The Hacker News, los investigadores infectaron una computadora con espacio de aire con malware especializado que intercepta el búfer de pantalla para modular los datos en ASK modificando el brillo del mapa de bits de acuerdo con el bit actual (‘1’ o ‘0’).
Puede encontrar información técnica detallada sobre esta investigación en el documento [ PDF ] titulado «BRILLO: Fugas de datos confidenciales de estaciones de trabajo con espacio de aire a través del brillo de la pantalla», publicado ayer por Mordechai Guri, Dima Bykhovsky y Yuval Elovici.
Técnicas de filtración de datos populares con espacio de aire
No es la primera vez que los investigadores de Ben-Gurion idean una técnica encubierta para apuntar a computadoras con espacios de aire. Su investigación previa sobre la piratería de máquinas de espacio de aire incluye:
- Ataque de PowerHammer para filtrar datos de computadoras con espacios de aire a través de líneas eléctricas.
- Técnica de MOSQUITO que utiliza dos (o más) PC con espacios de aire colocados en la misma habitación que pueden intercambiar datos secretamente a través de ondas ultrasónicas.
- Técnica BeatCoin que podría permitir a los atacantes robar claves de cifrado privadas de billeteras de criptomonedas con espacio de aire.
- Ataque de aIR-Jumper que toma información sensible de computadoras con espacios de aire con la ayuda de cámaras CCTV equipadas con infrarrojos que se utilizan para visión nocturna.
- Las técnicas MAGNETO y ODINI utilizan campos magnéticos generados por CPU como un canal encubierto entre sistemas con espacios de aire y teléfonos inteligentes cercanos.
- Ataque USBee que se puede utilizar para robar datos de computadoras con espacios de aire utilizando transmisiones de radiofrecuencia desde conectores USB.
- Ataque de DiskFiltration que puede robar datos utilizando señales de sonido emitidas desde la unidad de disco duro (HDD) de la computadora objetivo con espacio de aire;
- BitWhisper que se basa en el intercambio de calor entre dos sistemas informáticos para extraer sigilosamente contraseñas o claves de seguridad;
- AirHopper que convierte la tarjeta de video de una computadora en un transmisor FM para capturar las pulsaciones de teclas;
- Técnica de transmisor que utiliza el ruido emitido por un ventilador de computadora para transmitir datos; y
- Ataque GSMem que se basa en frecuencias celulares.
Fuente: https://thehackernews.com/2020/02/hacking-air-gapped-computers.html
