Smartwatch szpiegiem? Nawet komputer offline może wysyłać dane
Czy komputer bez dostępu do internetu jest naprawdę bezpieczny? Izraelski badacz udowodnił, że nawet fizycznie odizolowane maszyny mogą zdradzać dane. Wystarczy jedno proste urządzenie, które wiele osób nosi przy sobie i nie jest to smartfon. To cyberatak rodem z kina szpiegowskiego i choć momentami lekko naciąganego, to jest całkowicie realny.
Jeszcze nie tak dawno, przed rozpoczęciem matur, spytałem się CKE, jak zabezpieczane są matury, aby uniknąć przecieku przed egzaminem. Dotychczasowe metody wydają się być wystarczające, bowiem zdjęcia w sieci lądowały dopiero co najwyżej kilka chwil po rozpoczęciu egzaminu. Ale tu, jak wielokrotnie powtarzała komisja, nie ma już kontroli nad arkuszami i poprawny przebieg egzaminu jest już nadzorowany przez szkolne komisje.
Jednym z zabezpieczeń stosowanych przez CKE jest niezwykle proste odłączenie komputera od internetu. Tak, układanie matur odbywa się w całości offline, dzięki czemu nie było nawet możliwości ataku hakerskiego na taki komputer. Ale nie o matury dzisiaj chodzi. Też byłem przekonany, że taka prosta czynność jest wystarczająca. Jak jednak się okazuje, nowe badania ujawniają, że hakerzy mogą dostać się nawet do takiego urządzenia. Przynajmniej w teorii.
Badania Mordechaja Guriego z Uniwersytetu Ben-Guriona w Izraelu pokazują, że nawet odizolowane maszyny mogą wysyłać dane… do smartwatcha znajdującego się w pobliżu.
Jak działa atak ultradźwiękowy na komputer offline?
Klucz do ataku leży w połączeniu kilku elementów: mikrofonu w smartwatchu, ukrytego złośliwego oprogramowania i nośnika, jakim są fale ultradźwiękowe. Guri dowiódł, że można zainfekować komputer offline malwarem, który w odpowiednim momencie zaczyna nadawać dane za pomocą niesłyszalnych dla człowieka fal akustycznych. Smartwatch noszony przez nieświadomego pracownika potrafi je odebrać, przetworzyć i przesłać dalej, np. przez Wi-Fi do innego urządzenia.
Brzmi jak science fiction? A jednak testy pokazują, że taka transmisja działa na odległość nawet 6 metrów, osiągając prędkość do 50 bitów na sekundę. To niewiele, ale wystarczająco, by przesłać np. hasło, fragment kodu źródłowego albo informacje o strukturze plików.
Zegarek jako koń trojański
Co więcej, jak zauważa Guri, smartwatch może stać się narzędziem szpiegowskim nie tylko przez nieuwagę użytkownika. Możliwy jest scenariusz (brzmi jak trochę naciągany scenariusz filmu, ale ok, załóżmy, że tak może być), w którym zegarek pracownika zostaje skradziony, zainfekowany i po cichu zwrócony właścicielowi. Od tego momentu, nieświadomy niczego użytkownik nosi na nadgarstku urządzenie zdolne do przechwytywania danych z najściślej chronionych komputerów.
To jednak nie atak na masową skalę. Taka operacja wymaga bliskiego kontaktu z celem, obecności szpiega lub podstawionej osoby i precyzyjnego przygotowania. Guri podkreśla, że podobne metody mogłyby być użyte tylko wobec wyjątkowo wartościowych celów, jak systemy wojskowe, infrastruktura krytyczna czy projekty badawcze objęte ścisłą tajemnicą. No, także póki co, możemy uspokoić CKE, że stosowane zabezpieczenia powinny być w dalszym ciągu wystarczające.
Ale z drugiej strony odkrycie pokazuje, że wraz z rozwojem technologii czekają nas coraz większe wyzwania związane z cyberbezpieczeństwem.
Źródło: phys.org
