2015/05/06

Micrófonos paranoicos

Retomando un tema ya tocado en otra entrada[1], el otro dia (el otro año ya) asistía a una capacitación de seguridad cuando vi que una persona había pegado un papelito en la webcam de su máquina, práctica muy común cuando se desconfía de la máquina o del entorno. Si alguien logra ownear la máquina, no va a poder ver al operador.

En esta capacitación sin embargo era más importante el audio que la imagen, así que me pregunté por qué nadie, hasta donde yo sé, deshabilita el micrófono. Digo "físicamente", pues está claro que cualquier configuración sobre el software es volátil, un atacante podría revertirla.

Entonces pensé, hay que poner algo en el conector externo del micrófono que funcione eléctricamente como tal pero no capte el sonido. Gracias a Juan Carlos Cifuentes por sugerirme usar un micrófono común al cual se le extirpan algunas partes. Me imagino que debo estar reinventando la rueda.

Ya anulamos la cámara web y el micrófono, ¿por qué no el parlante? Los parlantes pueden funcionar como malos micrófonos pero apuesto a que no hay manera de que la placa de sonido pueda percibir nada así. Igual, conectamos unos "null speakers" y chau parlantes.

ACTUALIZACIÓN 2017/03/31

Papi tenía razón:
https://www.wired.com/2016/11/great-now-even-headphones-can-spy/


Todo esto vale si lo que activa/desactiva el micrófono o parlante es un switch físico en el conector.

A esto se suma el tan mentado BadBios[2], que me parece medio humo, el artículo es bastante turbio, no queda claro que el malware no puede infectar nada via ultrasonido, que sólo pueden comunicarse nodos ya infectados.

Pero, ¿cuántas máquinas tienen parlantes y micrófonos enchufados si no son portátiles? ¿cuántas si son servidores? ¿los parlantes y micrófonos comunes trabajan en el rango del ultrasonido?


He oido de información digitalizada en el sonido, por ejemplo de un equipo que encodea posicionamiento gps[3], asi que con sonido normal es bastante factible, pero no pasaría desapercibido.

A mi me gusta más la idea de usar webcams apuntando a monitores, la comunicación entre redes con airgap se podría hacer con un popup que se prende y apaga.


Ahora que escribo esto, recuerdo hace muchos años un reloj de Microsoft[4] que tenía una agenda que se actualizaba de un modo parecido.

El escenario para cualquiera de los dos medios es que una persona inocentemente o no instale el malware en ambos lados del airgap y ponga los microfonos/parlantes o webcams/monitores en condiciones. Que sea de bios o no, es indistinto.

[1] http://seguridad-agile.blogspot.com.ar/2014/01/camus-el-hacker-y-el-escenario.html
[2] http://www.pcworld.com/ article/2060360/security- researcher-says-new-malware- can-affect-your-bios-be- transmitted-via-the-air.html
[3] http://www.windytan.com/2014/02/mystery-signal-from-helicopter.html
[4] http://en.wikipedia.org/wiki/Timex_Datalink#Wireless_data_transfer_mode