La forma de ataque del malware Scangate

Las computadoras sin acceso a internet son consideradas una de las mejores maneras de defender de ciberataques a los sistemas informáticos importantes o con datos sensibles; pero el reconocido criptógrafo Adi Shamir, coinventor del ampliamente utilizado sistema criptográfico RSA, junto a los investigadores Yuval Elovici y Moti Guri de la Universidad Ben-Gurión del Néguev en Israel descubrió métodos para instalar software malicioso en estas computadoras.

Si un ataque lograse instalar un software malicioso a las computadoras sin internet, no podría robar sus datos, pero Shamir descubrió que si una impresora multifuncional se encuentra conectada a dicha computadora un atacante podría ejecutar el software enviando comandos con un láser infrarrojo a través del panel del escáner cuando se encuentre abierto. Cuando Shamir dio una presentación respecto a este modo de ataque en octubre en Ámsterdam, en la conferencia de seguridad Black Hat Europe, lo denominó Scangate.

Adi Shamir asegura que con Scangate es posible exfiltrar claves de cifrado.

Para comprobarlo, Shamir, Elovici y Guri ejecutaron un ataque Scangate en un edificio en Beerseba, específicamente en una impresora HP Officejet Pro 8500. Descubrieron que con un láser azul podían enviar señales desde más de un kilómetro de distancia que podría ser interpretado por cualquier software malicioso que ya se encuentre instalado en la impresora. Además, si se utilizara un láser infrarrojo de alta potencia, la distancia se puede incrementar hasta cinco kilómetros, lo que lograría que el ataque sea virtualmente indetectable.

Scangate también puede ser utilizado para recibir datos desde la impresora. Dado que el software malicioso puede iniciar y cancelar operaciones con el escáner, los atacantes son capaces de interpretar códigos binarios mediante la pulsación de luz del escáner, lo que sirve para exfiltrar archivos y otros datos. «La operación puede ser repetida hasta finalmente exfiltrar información crítica, como claves de cifrado. [También se puede utilizar] un dron de cuatro hélices para acercarse y observar el escáner desde un mejor ángulo», dijo Shamir.

Las computadoras sin acceso a internet se han utilizado desde hace mucho para almacenar información ultrasecreta y en ambientes críticos. A través de una de estas computadoras fue que se instaló el virus Stuxnet, desarrollado para atacar las centrífugas de enriquecimiento nuclear en Natanz (Irán), presumiblemente mediante un dispositivo USB que alguien contrabandeó.

La advertencia final de Shamir es simple: «No conecten una impresora multifuncional a la red».

Licencia Creative Commons
Esta obra de Allan Aguilar está bajo una Licencia Creative Commons Atribución 4.0 Internacional.

Encabezado: WhisperToMe, HewlettPackardHarrisCoTX
Imagen: Erik Tews, Adi Shamir at TU Darmstadt (2013), CC BY-SA 3.0

Fuentes: «All-in-one printers can be used to control infected air-gapped systems from far away», «Black Hat Keynoter: Beware of Air Gap Risks ― Drone, Laser Attack Penetrate Secure Environment», «Side Channel Attacks – Past, Present, and Future».

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s