Security Week 35: перехват клавиатуры через Wi-Fi, атака на банкоматы с помощью EMV-чипа, новый IoT-ботнет

В этом выпуске Константин Гончаров рассказывает о краже денег из банкоматов с помощью EMV-карт, о подслушивании клавиатурного ввода через Wi-Fi и о крупном ботнете из Интернета вещей

Security Week 35: перехват клавиатуры через WiFi, атака на банкоматы с помощью EMV-чипа, новый IoT-ботнет

Перехват клавиатурного ввода постепенно становится моей любимой категорией ИБ-новостей. Я уже писал о серии исследований компании Bastille Networks: эти ребята подробно изучили механизмы взаимодействия беспроводных мышей и клавиатур с приемниками и выяснили, что у ряда производителей дела с безопасностью обстоят не очень хорошо. Можно вспомнить еще более древнюю новость про перехват клавиатурного ввода с помощью анализа видеозаписи.

Нравятся мне они тем, что представляют собой (пока) теоретические исследования потенциальных угроз будущего. На практике пароли крадут кейлоггерами, делают это массово, но это другая тема. Новое исследование (новость и PDF) коллектива американских и китайских ученых показывает, как можно перехватывать клавиатурный ввод, имея доступ к низкоуровневым данным о работе Wi-Fi-роутера.

Круто же, правда? Эксперты использовали обычный роутер TP-Link WR1043ND, а для перехвата требовалось, чтобы роутер работал в стандартах WiFi 802.11n/ac. Конечно, требовался доступ к роутеру, что, как мы знаем, достаточно легко обеспечить — из-за уязвимостей или из-за неправильной конфигурации.

Анализируя данные Channel State Information, эксперты смогли отслеживать даже небольшие движения в зоне действия роутера. Все благодаря тому, что CSI содержит в себе данные о качестве передачи данных, которые обычно используются для одновременной работы нескольких антенн (MIMO), переключения на иные частотные диапазоны и изменения мощности радиосигнала.

Вот что получается, если говорить совсем простыми словами. Человек (кот, цветочный горшок — нужное подчеркнуть) перемещается по помещению, что влияет на качество передачи данных. Роутер анализирует эти данные в соответствии со стандартом и изменяет параметры передачи так, чтобы поддерживать необходимую скорость.

Оказалось, что, если человек просто сидит за компьютером и набирает текст, мельчайшие флуктуации параметров Channel State Information позволяют идентифицировать нажатие какой-то определенной клавиши. В общем и целом это все.

Дальше теория разбивается о суровую реальность, но не полностью. Во-первых, нужно взломать роутер — ок, с этим разобрались, вполне себе возможно. Во-вторых, нужно откалибровать систему — исследователи предлагают делать это, например, с помощью чата с пользователем: когда на другой стороне становится известно, какие символы набраны, и появляется возможность сравнить их с данными от роутера.

Security Week 35: перехват клавиатуры через WiFi, атака на банкоматы с помощью EMV-чипа, новый IoT-ботнет

Целевые значения параметров в зависимости от того, какая буква нажимается на клавиатуре

В-третьих, сбить тонкую настройку может что угодно, хоть соседи, хоть проезжающая мимо машина. Поэтому в исследовании делается оговорка, что успешный эксперимент проводился в контролируемых условиях (минимум внешних факторов).

Точность тем не менее феноменальная: 97,5% вероятности успешного перехвата. В реальных условиях, как предполагают авторы работы, вероятность упадет до 77,5%, но это тоже немало. Особенно если иметь возможность анализа данных в течение долгого времени, а она в подобном сценарии имеется.

Мне кажется, таких «открытий» будет все больше, а когда-то (не скоро), увы, такие страшилки начнут воплощаться на практике. Сложность компьютерных систем растет, используются они везде и в огромных количествах, а количество людей, знающих о том, как это все на самом деле работает, не увеличивается.

В общем-то и незачем: давно прошли времена, когда «пользоваться компьютером» и «программировать» означало примерно одно и то же. Кроме того, растет объем информации, по которой можно идентифицировать поведение человека. Появляются новые системы, способные вылавливать крупицы смысла из, казалось бы, полного хаоса. Уже сейчас «перехват клавиатуры через Wi-Fi» смотрится странновато, но то ли еще будет. Потому исследование и интересное.

Все выпуски дайджеста — тут, а мы продолжаем.

Вредоносное ПО RIPPER грабит банкоматы с использованием подготовленных EMV-чипов

Новость.
В прошлом году в США широко обсуждалась тема перехода на карты с чипом (известным как EMV) для защиты от растущего объема связанного с финансами кибермошенничества.

В отличие от России или Европы, в Штатах до сих пор повсеместно используют карты с магнитной полосой, а это по современным меркам совершенно небезопасно — и клонировать легко, и украсть информацию несложно, и вообще. EMV пока расценивается как надежная технология. Эта новость… Нет, эта новость не про то, что EMV взломали. Но есть вероятность, что произошел один шажок в эту сторону.

Недавно сообщалось о довольно массовой атаке на банкоматы в Таиланде, вслествие которой из них было похищено чуть меньше $400 тысяч. Исследователи из компании FireEye предполагают, что атака могла быть связана с обнаруженной ими вредоносной программой, известной как RIPPER. Для проведения атаки сначала необходимо было заразить банкомат. А вот триггером для срабатывания зловреда являлся специально подготовленный чип на карте.

То есть вставляем карту, вредоносное ПО распознает ее как свою и предоставляет доступ в Святой Грааль. Грааль, правда, оказался несколько прижимистым и более 40 купюр за один заход не давал — преступникам пришлось побегать. EMV — основное отличие этой атаки от аналогичных, известных уже года с 2009-го. Например, можно почитать про Skimer.

Нынешняя же кибератака подтверждает, что на стороне пользователя технология EMV надежна. А вот на стороне розничной сети или банка возможны нюансы. Инфраструктура современных платежных систем постоянно находится под атакой, и, так как речь идет о реальных деньгах, периодически находятся слабые места где-то на пути движения данных от банкомата или терминала до собственно банка. И еще: сам факт использования чипа говорит о том, что на той стороне эту технологию активно проверяют на слабые места.

Ботнет из сотен тысяч уязвимых IoT-устройств используется для DDoS-атак

Новость. Исследование Level 3.

То, что домашние автономные устройства, такие как веб-камеры или цифровые телеприставки, массово взламывают и на них активно строят ботнеты, — это уже, к сожалению, не новость. По-прежнему обсуждается, можно ли причислять такие устройства к Интернету вещей, но, собственно говоря, почему бы и нет?

По мне, так IoT будущего будет состоять все же из более мелких и многочисленных устройств, причем на разных платформах, в то время как сетевые веб-камеры — это почти полноценные компьютеры, чаще всего работающие на почти полноценном Linux. В остальном критерии выполняются: владельцы этих устройств рассматривают их как черный ящик, который достаточно включить и забыть, и даже не думают о том, насколько их устройство защищено.

Security Week 35: перехват клавиатуры через WiFi, атака на банкоматы с помощью EMV-чипа, новый IoT-ботнет

Тем не менее исследование компании Level 3 поражает размахом обнаруженного семейства ботнетов: утверждается, что организаторы атаки контролируют сотни тысяч устройств. Интересны и некоторые технические детали, особенно в свете неизбежного зоопарка разностандартных IoT-устройств в будущем. Вроде как различия в софте и железе должны усложнять работу взломщиков. Но нет.

Во-первых, в исследовании не уделяется внимание методам взлома — там и взлома-то не происходит. Дефолтные пароли, смотрящий наружу Telnet — наше все (но и вредоносное ПО тоже используется). Во-вторых, приводится пример механизма загрузки и запуска «полезной нагрузки». Строители ботнета вообще не заморачиваются. Они начинают по очереди загружать на новое устройство сборки своего кода под разные платформы, пока одна из них не запустится.

Определенно, первым шагом к построению безопасного IoT должен стать отказ от стратегии «всем можно все» — ну, когда чайник у вас в локальной сети имеет столько же прав, сколько и вы сами.

Что еще произошло:

Еще один способ эксфильтрации данных из air-gapped-систем, но еще более замороченный, чем через вращение кулера.

68 млн паролей утекло у Dropbox в 2012 году, а теперь утекло в Сеть. Правило смены пароля минимум раз в два года снова подтвердилось.

И еще у Opera пароли, возможно, тоже утекли.

Security Week 34: уязвимость в iOS, Powershell-троян, коллизии против 3DES и Blowfish

Древности:

Семейство «Datacrime»

Нерезидентные очень опасные вирусы. При запуске зараженного файла стандартно инфицируют не более одного .COM- или .EXE-файла во всех текущих каталогах всех доступных дисков. В зависимости от таймера и своих внутренних счетчиков выдают на экран текст:

«Datacrime-1168,-1280» — «DATACRIME VIRUS RELEASED 1 MARCH 1989»
«Datacrime-1480,-1514» — «DATACRIME II VIRUS»

И после этого пытаются форматировать несколько треков винчестера.

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 28.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.

Советы