05 octubre 2016

CottonMouth - Traicionera Radio USB

Investigadores israelíes de Ben-Gurion University han demostrado que ya no se necesita modificar un dispositivo USB para utilizarlo como transmisor de radio frecuencia (RF).

En concreto, este sistema funciona con cualquier dispositivo que sea conectado a través de USB, funcionando mejor con los que usan cable, como un disco duro externo. El sistema de la NSA, llamado CottonMouth (ver https://nsa.gov1.info/dni/nsa-ant-catalog/usb/index.html), obligaba a modificar el USB y a colar el dispositivo en el ordenador objetivo, mientras que USBee (ver http://cyber.bgu.ac.il/t/USBee.pdf[PDF]) puede funcionar con cualquier dispositivo ya conectado a un ordenador. Simplemente se usa el bus de datos del USB.

Los investigadores han demostrado cómo un dispositivo USB sin modificar se puede convertir en un transmisor de radio frecuencia (RF) y aprovechar para rendir datos potencialmente confidenciales desde sistemas Air-Gapped (Ver https://en.wikipedia.org/wiki/Air_gap_%28networking%29). USBee es un nuevo método que consiste en un dispositivo USB sin modificar y una pieza experimental de malware.

En los últimos años, expertos de este centro de investigación han estado analizando distintos métodos usando frecuencias de celulares (ver http://www.securityweek.com/data-theft-air-gapped-computers-possible-cellular-frequencies), ruido de ventiladores (ver http://www.securityweek.com/malware-can-steal-data-air-gapped-devices-fans) y discos duros (ver http://blog.segu-info.com.ar/2016/08/diskfiltration-exfiltrar-informacion.html), señales electromagnéticas de tarjetas gráficas (ver http://www.securityweek.com/airhopper-malware-uses-radio-signals-steal-data-isolated-computers) y el calor emitido por la CPU y la GPU (ver http://www.securityweek.com/air-gapped-computers-can-communicate-through-heat-researchers). Otras técnicas, como AirHopper (ver http://blog.segu-info.com.ar/search/?q=AirHopper), que convierte la tarjeta de vídeo en un transmisor de FM; BitWhisper (ver https://arxiv.org/pdf/1503.07919), que se basa en el intercambio de calor-inducido "termal pings"; GSMem (ver https://www.usenix.org/node/190937), que depende de las frecuencias de los celulares; y Fansmitter (ver https://arxiv.org/pdf/1606.05915), que utiliza el ruido emitido por un cooler de la computadora para transmitir datos.

El sistema hace justo lo opuesto a lo que hacen las radios de los teléfonos móviles. Los teléfonos utilizan el cable de los auriculares para actuar como receptores de señal, los cuales van al chip de la radio y permiten escucharla. El sistema creado por los investigadores israelíes hace lo contrario: utiliza el cable como una antena para emitir.

Para ello, primero tienen que tener acceso al ordenador e instalar el malware que obligue al dispositivo a emitir la señal. Aunque como vimos en Mr. Robot, es tan fácil como soltar varias memorias cerca del objetivo, y algún trabajador acabará insertándola en el ordenador para ver qué contiene, pudiendo así instalar automáticamente el malware.

El alcance del sistema es de 3 metros para una memoria USB, y de 8 metros si el dispositivo usa cable. La tasa de transferencia es… algo lenta, de unos 80 bytes por segundo, que, aunque parezca poco, es suficiente para robar una clave de cifrado de 4096 bits en menos de 10 segundos. Los datos son transmitidos a través de señales electromagnéticas hasta un receptor que utiliza GNU-radio para desmodular la señal. 

https://youtu.be/E28V1t-k8Hk

Lo interesante de USBee es que permite obtener información de cualquier ordenador a través del puerto USB 2.0, incluso cuando el ordenador está totalmente desconectado de Internet, no tiene altavoces, y tanto el WiFi como el Bluetooth están desactivados.

Este sistema es probable que ya lo conocieran algunas autoridades del espionaje como la propia NSA, y de no ser así, seguro que ya están contactando al grupo de investigadores, o directamente están probando a emular el sistema, ya que en el mundo del espionaje puede ser realmente útil para obtener información.

Para evitar este tipo de hackeo a distancia, se puede aislar una habitación de forma que quede como una Jaula de Faraday (ver https://es.wikipedia.org/wiki/Jaula_de_Faraday). Los investigadores han propuesto varias medidas, como prohibir equipos electrónicos cerca de equipos sensibles, utilizando sistemas de detección de intrusos y antivirus y blindaje para evitar que las emisiones electromagnéticas de los componentes. Sin embargo, los expertos señalaron que estos métodos no siempre sea muy eficiente ni viable. Por ejemplo, en el caso de sistemas de detección de intrusiones para detectar ciertos patrones, puede resultar en una alta tasa de falsos positivos.

Fuente: SecurityWeek (ver http://www.securityweek.com/unmodified-usb-devices-allow-data-theft-air-gapped-systems)
Tomado de: http://blog.segu-info.com.ar/2016/08/usb-sin-modificar-permite-transmitir.html