Usuario: Contraseña:

Wireless,Web,Cracking and Hacking Ethical Forensics Analistics NetWork Group

Auditorias Wireless

Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Autor Tema: Otro sitio más donde buscar troyanos..  (Leído 1265 veces)

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado davidson444

  • Moderador Global
  • *****
  • Mensajes: 2559
  • Colaboraciones +111/-1
  • Sexo: Masculino
  • blanco y en botella.......
Otro sitio más donde buscar troyanos..
« en: 07 de Enero de 2011, 09:57:05 am »
 Ralf-Philipp Weinmann nos ha contado otro sitio más dónde un atacante podría esconder un troyano que registre todas nuestras claves y las transmita a algún sitio dónde nos suplantarán para oscuros propósitos.

Resulta que todos los portátiles manejan el control de temperatura, los ventiladores, los LED, la carga de la batería y el teclado con un controlador integrado (EC, embedded controller). Este controlador es en realidad un pequeño procesador que funciona a 10 MHz. Las primeras versiones utilizaban ROM, las siguientes EPROM pero todas las actuales funcionan con Flash ROM.

Por tanto, cambiar el programa de ROM por uno malicioso dejaría a disposición de un atacante un procesador con capacidad para almacenar de 4 a 60 kB de pulsaciones de teclado e incluso comprimirlas para que ocupen menos.

¿El problema? Sacar los datos de esa memoria... Descartando la vía fácil de infectar también el procesador central (parte de lo que hace este tema preocupante es que se puede reinstalar totalmente el sistema operativo y este troyano ni se inmuta), Ralf nos cuenta un par de maneras de hacerlo:

    * Una relativamente difícil de recibir, aunque podría utilizarse remotamente de manera casi invisible sería codificarlo en los retrasos entre pulsaciones de teclado... lo cual requiere que el usuario envíe pulsaciones remotamente... no muy sencillo.
    * La que se ha demostrado en la charla en realidad envía las pulsaciones de dos maneras: dado que el procesador controla también los LED, el primer camino es modular de manera invisible la luz de los LED del ordenador. Pero además resulta que en los ordenadores Thinkpad atacados, el LED está en la parte de arriba del ordenador y el controlador está cerca del teclado, por lo que modulando la luz además se dispone de una antena... que puede emitir en varios MHz ya que el procesador funciona a 10 MHz, recibiéndose a una distancia moderada (aunque eso no se demostró en la charla).

Eso sí, la opción de usar los ventiladores... la descartó por el exceso de ruido.

¿A cuántos ordenadores aplica este ataque? Ralf sólo ha creado una modificación para el procesador Reneses RS8 que tienen los ordenadores ThinkPad y que está muy bien documentado. Pero dice que el mercado está en manos de un número relativamente pequeño de procesadores (ENE, ITE, Nuvolon y Fujitsu), tres de los cuales tienen más o menos el mismo tipo de procesador basado en los controladores 8051 y 8052.

Aunque los Apple están a salvo de este ataque porque conectan el teclado directamente al ordenador vía USB (¡!), eso no significa que no se pueda atacar directamente su teclado...

¿Soluciones? Pues la sugerencia es tener un repositorio centralizado de firmas de los "firmwares" de los controladores de cada ordenador, de modo que por ejemplo en el arranque se pueda comprobar que un ordenador no está comprometido. Por ahora estamos relativamente seguros porque su "firmware" modificado no va a ser publicado...

Fuente

http://frutosdelcaos.blogspot.com/2010/12/otro-sitio-mas-donde-buscar-troyanos.html


Desconectado ertito

  • Moderador Global
  • *****
  • Mensajes: 1187
  • Colaboraciones +61/-2
  • Sexo: Masculino
  • eterno aprendiz
    • LocosPorElWifi
Re:Otro sitio más donde buscar troyanos..
« Respuesta #1 en: 08 de Enero de 2011, 06:31:57 pm »
hasta la cocina, se meten hasta la cocina los hijos de p.....
bueno intentaremos mantenernos lejos por si las moscas, aunque esta peña nos los unta como quieren.
saludos.

Desconectado Manuel23009

  • Administrador
  • *****
  • Mensajes: 676
  • Colaboraciones +28/-0
  • Sexo: Masculino
  • Investigador
Re:Otro sitio más donde buscar troyanos..
« Respuesta #2 en: 12 de Enero de 2011, 12:48:30 am »
La verdad es que es un pelin rebuscado...pero joder, tiene mérito que alguien se pare a pensar en eso...Buena info compañero
[img width= height=]http://img855.imageshack.us/img855/9742/cooltext572253739.png[/img]

Desconectado davidson444

  • Moderador Global
  • *****
  • Mensajes: 2559
  • Colaboraciones +111/-1
  • Sexo: Masculino
  • blanco y en botella.......
Re:Otro sitio más donde buscar troyanos..
« Respuesta #3 en: 12 de Enero de 2011, 01:17:22 am »
La verdad es que es un pelin rebuscado...pero joder, tiene mérito que alguien se pare a pensar en eso...Buena info compañero
la peña que tiene mucho tiempo libre..........mas o menos como yo jajajaja.


Share me

Digg  Facebook  SlashDot  Delicious  Technorati  Twitter  Google  Yahoo
Smf

 

Dumpper All V.x.x

DUMPPER WPS PENTESTING