Retomando un tema ya tocado en otra entrada[1], el otro dia (el otro año ya) asistía a una capacitación de seguridad cuando vi que una
persona había pegado un papelito en la webcam de su máquina, práctica
muy común cuando se desconfía de la máquina o del entorno. Si alguien
logra ownear la máquina, no va a poder ver al operador.
En esta
capacitación sin embargo era más importante el audio que la imagen, así
que me pregunté por qué nadie, hasta donde yo sé, deshabilita el
micrófono. Digo "físicamente", pues está claro que cualquier
configuración sobre el software es volátil, un atacante podría
revertirla.
Entonces pensé, hay que poner algo en el conector
externo del micrófono que funcione
eléctricamente como tal pero no capte el sonido. Gracias a Juan Carlos
Cifuentes por sugerirme usar un micrófono común al cual se le extirpan
algunas partes.
Me imagino que debo estar reinventando la rueda.
Ya anulamos la
cámara web y el micrófono, ¿por qué no el parlante? Los parlantes pueden
funcionar como malos micrófonos pero apuesto a que no hay manera de que
la placa de sonido pueda percibir nada así. Igual, conectamos unos "null speakers" y chau parlantes.
ACTUALIZACIÓN 2017/03/31
Papi tenía razón:
https://www.wired.com/2016/11/great-now-even-headphones-can-spy/
Todo esto vale si lo que activa/desactiva el micrófono o parlante es un switch físico en el conector.
A esto se suma el tan mentado BadBios[2], que me parece medio humo, el artículo es
bastante turbio, no queda claro que el malware no puede
infectar nada via ultrasonido, que sólo pueden comunicarse nodos ya
infectados.
Pero, ¿cuántas máquinas tienen parlantes y micrófonos
enchufados si no son portátiles? ¿cuántas si son servidores? ¿los
parlantes y micrófonos comunes trabajan en el rango del ultrasonido?
He oido de información digitalizada en el sonido, por ejemplo de un equipo que encodea posicionamiento gps[3], asi que con sonido normal es bastante factible, pero no pasaría desapercibido.
A mi me gusta más la idea de usar webcams apuntando a monitores, la
comunicación entre redes con airgap se podría hacer con un popup que se
prende y apaga.
Ahora que escribo esto, recuerdo hace muchos años un reloj de Microsoft[4] que tenía una agenda que se actualizaba de un modo parecido.
El
escenario para cualquiera de los dos medios es que una persona inocentemente o no instale el malware en ambos lados del airgap y ponga los
microfonos/parlantes o webcams/monitores en condiciones. Que sea de bios
o no, es indistinto.
[1] http://seguridad-agile.blogspot.com.ar/2014/01/camus-el-hacker-y-el-escenario.html
[2] http://www.pcworld.com/
article/2060360/security- researcher-says-new-malware-
can-affect-your-bios-be- transmitted-via-the-air.html
[3] http://www.windytan.com/2014/02/mystery-signal-from-helicopter.html
[4] http://en.wikipedia.org/wiki/Timex_Datalink#Wireless_data_transfer_mode
