image

Malware steelt data van offline computer via harde schijflampje

woensdag 22 februari 2017, 13:38 door Redactie, 18 reacties

Onderzoekers hebben nieuwe malware ontwikkeld die via het lampje van de harde schijf met relatief hoge snelheid data kan stelen, zoals wachtwoorden en encryptiesleutels. Vanwege het risico op aanvallen is het een veel gegeven advies om computers met vertrouwelijke data niet op internet aan te sluiten.

Een offline computer kan echter nog steeds worden geïnfecteerd, bijvoorbeeld via usb-sticks of een kwaadwillende werknemer. Om vervolgens van een besmette offline computer toch data te kunnen stelen ontwikkelden onderzoekers de afgelopen tijd verschillende methodes, zoals het gebruik van speakers, geluid van de harde schijf, ventilatoren, radiogolven, afgegeven warmte, usb-straling en mobiele telefoons om de gegevens direct naar de aanvaller of een wel met internet verbonden besmette computer of smartphone in de buurt terug te sturen.

Onderzoekers van het Cyber Security Research Center aan de Israëlische Ben-Gurion Universiteit hebben nu een nieuwe methode gevonden, namelijk het lampje van de harde schijf. Via malware is het mogelijk om dit lampje 5800 keer per seconden te laten knipperen, zonder dat dit voor het menselijke oog zichtbaar is. Gevoelige gegevens kunnen vervolgens door de malware worden gecodeerd en gelekt via de led-signalen. De onderzoekers noemen hun aanval dan ook LED-it-GO, wat staat voor Leaking (a lot of) Data.

Om het geknipper van het lampje op te vangen maken de onderzoekers gebruik van een drone, zoals in onderstaand filmpje zichtbaar is, maar ook een verborgen camera of camera die door een insider wordt achtergelaten zou volstaan. Via de techniek zou het mogelijk zijn om 4000 bits per seconde te versturen. "Dit is tien keer sneller dan de bestaande optische methodes om data van offline computers te stelen. Met deze snelheid is het mogelijk om encryptiesleutels, opgeslagen toetsen en tekst- en binaire bestanden snel te stelen", aldus de onderzoekers in hun rapport (pdf).

Om dergelijke aanvallen te voorkomen stellen ze verschillende maatregelen voor, zoals het verbieden van camera's, het afdekking van het harde schijflampje, het harde schijflampje uitschakelen, de ramen bedekken, software installeren om led-activiteit te monitoren en het gebruik van "signal jamming" software.

Image

Reacties (18)
22-02-2017, 13:47 door karma4
Als er al malware op een systeem terecht gekomen is heb je een ernstiger probleem dan zo'n lampje als side channel in een afgesloten ontoegankelijke ruimte
22-02-2017, 13:50 door Anoniem
Mooi gevonden maar niet echt nieuw. op TED was er in 2011 een meneer die alle ledlampen als databron zag en dat ook demonstreerde. Hij zei: een ledlamp is geen lamp maar een diode en die kan ik zo vaak en snel laten knipperen dat hij geschikt is voor hoge snelheid dataoverdracht.

Wel knap dat ze dat nu via malware in de praktijk brengen.

zie: https://www.ted.com/talks/harald_haas_wireless_data_from_every_light_bulb
22-02-2017, 13:52 door Anoniem
1 april komt weer in zicht
22-02-2017, 14:10 door Anoniem
Door karma4: Als er al malware op een systeem terecht gekomen is heb je een ernstiger probleem dan zo'n lampje als side channel in een afgesloten ontoegankelijke ruimte

Je moet onderzoek doen naar de kill chain in je organisatie. Malware kan op tientallen manieren op een systeem terecht komen. Je moet niet de illusie hebben dat dit nooit voor zal komen of zelfs al niet is gebeurd. Exfiltratie is op minder manieren te realiseren. De kern van je verdediging is om te voorkomen dat de data wordt gekopieerd. Daar, en op je kill chain, baseer je je acties en de inzet van je (heel vaak) beperkte middelen.

En ja, als je de gegevens in een ontoegankelijke ruimte hebt staan, heb je al een interventie op de kill chain geimplementeerd. Maar is die comptuer met gevoelige informatie de enige? Of denk je juist dat die computer niet in een optisch ontoegankelijke ruimte hoeft te staan, omdat hij niet is aangesloten op internet?

Informatiebeveiliging is niet alleen een kwestie van de beste anti-virussoftware.

Peter
22-02-2017, 14:28 door karma4
Klopt Peter, met informatiebeveiliging moet je verder kijken dan enkel de bekende software implementaties. Je moet doen aan preventie en detectie in een continu verbeterproces.
Een desktop beschouwing als minder relevant omdat je daar de gevoelige data niet wil hebben. Je moet wel goed de boel monitoren op gedrag en meer om naast preventie de detectie op tijd te kunnen doen. Nooit vertrouwen op een enkele verdedigingslinie.
22-02-2017, 14:44 door Anoniem
Zo primitief allemaal, lees gewoon iemand zijn hersen neuronen uit en op het moment dat iemand aan zijn password denkt heb je het al.

Ping 1.4.20.17
22-02-2017, 14:50 door Anoniem
@Peter,

En dan nog is er altijd de zwakste schakel, juist die schakel die rondloopt, met iets op zak, genaamd BYOD.

Er vallen meer slachtoffers door goede zoekers en social engineers dan door hackers.

Heeft er ergens fysiek contact plaatsgevonden, kan er al een systeem gecompromitteerd zijn.

De narigheid is jij als verdediger moet aan van alles denken en de indringer slechts aan dat ene wormgaatje,
dat hij of zij op het oog heeft. Dat is het verschil, verdedigen is veel moeilijker dan aanvallen.

Neemt niet weg dat die Sabra's echt slimme dingen kunnen uitknobbelen om tot uitgekookte oplossingen te komen.
Zowel offensief als defensief. Het Weizman instituut loopt er vol mee,
22-02-2017, 16:43 door Anoniem
5800 knippers per seconde van een LED vereisen wel een bijzondere camera om al die knippers te onderscheiden.
Een doorsnee drone camera haalt misschien 60 frames per seconde...
22-02-2017, 19:03 door Anoniem
Door Anoniem: 5800 knippers per seconde van een LED vereisen wel een bijzondere camera om al die knippers te onderscheiden.
Een doorsnee drone camera haalt misschien 60 frames per seconde...
gopro heeft tegenwoordig ook een slomo functie die tot 5000 fps kan als ik me niet vergis. De tech hiervoor word steeds goedkoper en daar mee toegankelijker voor de meeste mensen. Dit bericht hier boven laat alleen zien dat met de juiste mindere en creativiteit van een hacker alles mogelijk is. Zelfs wat de meeste mensen voor onmogelijk houden.
22-02-2017, 19:54 door Anoniem
Door Anoniem: 5800 knippers per seconde van een LED vereisen wel een bijzondere camera om al die knippers te onderscheiden.
Een doorsnee drone camera haalt misschien 60 frames per seconde...

Als je een hele tig-megapixel camera wilt gebruiken om een enkele aan/uit spot te lezen is het wel een beetje lastig ja.

Als je gewoon een enkele optische sensor gebruikt is 5800 /sec peanuts.

FYI : de draaggolf van een TV afstandbediening (IR led) is ca 34..38 Khz . (38000 x p/s) .[de throughput is wel veel lager]
Om maar te zwijgen van de rx in een glasvezel : 100 Mbit, 1 Gbit/sec, en verder.
22-02-2017, 20:18 door Anoniem
Nog even en dan kunnen we aan de fluctuatie in stroomverbruik op de slimme meter het wachtwoord van de computer achterhalen.
22-02-2017, 22:23 door Anoniem
Door Anoniem: Zo primitief allemaal, lees gewoon iemand zijn hersen neuronen uit en op het moment dat iemand aan zijn password denkt heb je het al.
Ping 1.4.20.17

Door Anoniem: Nog even en dan kunnen we aan de fluctuatie in stroomverbruik op de slimme meter het wachtwoord van de computer achterhalen.

Sorry, niet mogelijk.
22-02-2017, 22:51 door Anoniem
De echte hacker heet tegenwoordig onderzoeker
22-02-2017, 22:53 door Vixen
Door Anoniem: gopro heeft tegenwoordig ook een slomo functie die tot 5000 fps kan als ik me niet vergis.

Heb je het over de hero- of session- lijnen? De nieuwste hero5 kan op 720p maximaal 240 fps halen. Dit geld ook voor de hero4 black.
23-02-2017, 08:27 door Anoniem
Ik heb een schroevendraaier en daarmee maak ik de kast open haal de harddisk eruit en neem hem mee. Dat duurt 2 minuten. dus 1 TB in 2 minuten. Beat that with data transfer... ;)
23-02-2017, 13:57 door Brainstorm
Door Anoniem: Ik heb een schroevendraaier en daarmee maak ik de kast open haal de harddisk eruit en neem hem mee. Dat duurt 2 minuten. dus 1 TB in 2 minuten. Beat that with data transfer... ;)

Ze waren je in 2011 al behoorlijk wat snelheid voor:
http://www.zmescience.com/research/fastest-single-laser-transmission-4143545/

26 terabits per second * 120 = 3,1 PB in 2 minuten, nu jij weer.
23-02-2017, 14:28 door Anoniem
@ Anoniem van 8:27

Waarom zou je een schroevendraaier gaan gebruiken? Daarvoor heb je fysieke toegang tot de computer in kwestie voor nodig en als het zal niet zo lang duren eer men de harde schijf gaat missen en eventuele maatregelen neemt.

Beetje botte methode dus. Of je moet de admin van het toestel zelf zijn en dan heb je toch al toegang tot de data neem ik aan en kan ontslag op termijn niet uitblijven. "Do not do the crime if you cannot do the time" is het motto in dat laatste geval.

Voor bedrijfsspionage en het met voorkennis binnenslepen van een eventueel toekomstig contract is het toch echt beter dat de data ongezien letterlijk "het raam uitvliegen" naar een voor het raam hangende drone. Wellicht wordt de data diefstal niet eens of veel en veel later pas opgemerkt en kan het bovengeschetste scenario ongemerkt plaatsvinden. Weg toekomstig contract, hoe kan dat nou?

Maar veelal gaat het op een andere minder innovatieve manier en steelt men gewoon elkaars ideeën, zoals recentelijk facebook deed met snapchat (zie de nieuwe mogelijkheden van Whatsapp). Begrijpelijk dat de developers van Snapchat facebook niet langer kunnen luchten of zien. Snuf en Snuitje scenario!

Is men als bedrijf Amerikaans en groot genoeg calculeert men eventuele boetes voor overtredingen gewoon in en betaalt men grif de openstaande boeten. Zit in het bedrijfsplan ingebakken. Leuke jongens, toch?
23-02-2017, 14:37 door karma4
Door Brainstorm:
26 terabits per second * 120 = 3,1 PB in 2 minuten, nu jij weer.
Maakt niets uit, de data opslag groeit harder dan de data transfer snelheid. Kunnen de waarden absoluut anders zijn. Blijft de snelste methode van overhalen "big data" gewoon het fysieke transport te zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.