Παρανοϊκός ή Προετοιμασμένος? Οι κατάσκοποι στο γραφείο σου

Συνήθως λαμβάνω ερωτήσεις για το γιατί έχω αυτοκόλλητο στους αισθητήρες περιβαλλοντικού φωτισμού στους φορητούς υπολογιστές και το τηλέφωνό μου. Κάποιοι πιστεύουν ότι δεν καταλαβαίνω τη διαφορά μεταξύ ενός αισθητήρα φωτός και μιας κάμερας και προσπαθούν να μου εξηγήσουν ότι αυτό δεν είναι κάμερα. Αυτό που δεν ξέρουν είναι ότι οι αισθητήρες περιβαλλοντικού φωτισμού μπορούν να χρησιμοποιηθούν με μεθόδους μηχανικής μάθησης για να εξαχθούν δεδομένα σαν να ήταν αδύναμες κάμερες.

Γενικά ακούω από ανθρώπους: “Αλλά δεν έχουμε τίποτα να κρύψουμε!” Λοιπόν, έχεις περισσότερα να κρύψεις από ό,τι νομίζεις, και τα δεδομένα σου μπορούν να συνδυαστούν με άλλα δεδομένα που συλλέγονται από σένα αλλού για να παραχθεί πληροφορία σε ένα επίπεδο που ούτε καν μπορείς να φανταστείς. Και αυτοί που συλλέγουν τα δεδομένα δεν έχουν απαραίτητα καλές προθέσεις. Τα δεδομένα σας μπορούν να συλλεχθούν από διάφορους απειλητικούς φορείς για να αναλυθούν με χρήση τεχνητής νοημοσύνης και να χρησιμοποιηθούν για διαφορετικούς σκοπούς και προθέσεις.

Στην κυβερνοασφάλεια, θεωρούμε ότι αν ένας τύπος επίθεσης είναι δυνατός και υπάρχει η ευκαιρία να πραγματοποιηθεί επίθεση, τότε μπορεί να υπάρχει κίνητρο για την πραγματοποίηση αυτών των επιθέσεων. Δεν υποθέτουμε ότι αυτοί που μπορούν να συλλέξουν τα δεδομένα έχουν πάντα νόμιμο λόγο να τα συλλέξουν. Δεν υποθέτουμε επίσης ότι μόνο ένα μέρος ή οντότητα εκμεταλλεύεται μια ευπάθεια για να συλλέξει αυτά τα δεδομένα.

Παρακάτω είναι μια λίστα με άλλα πράγματα που μπορούν να χρησιμοποιηθούν για κατάσκοπευσή σας που πιθανώς δεν γνωρίζετε ότι έχουν τέτοιες δυνατότητες.

Το ηχείο της τηλεόρασής σας μπορεί να σας ακούει

I am one of those who usually choose a TV model without a microphone or camera before I need to physically remove those devices. I also have a home firewall and a secured internal network, but I have learned throughout the years not to only rely on logical controls. However, based on a WikiLeaks release in 2017 και documents from 2014, the CIA (in cooperation with MI5) turned speakers in certain TV models into microphones to collect data. They even developed a fake off mode to show that the TV is off when they collect those conversations. If you think your TV might listen to your conversation, it is better to unplug it when not in use. It also saves you some energy because plugged devices even while not in use may consume some electricity.

Ο αισθητήρας φωτός του tablet ή του laptop σας μπορεί να καταγράψει το χέρι σας ή την εικόνα σας

Πάντα ρυθμίζω τη φωτεινότητα της οθόνης χειροκίνητα, και πιστεύω ότι έχω καλό λόγο για αυτό.

Ο αισθητήρας περιβαλλοντικού φωτός χρησιμοποιείται για τη μέτρηση της ποσότητας φωτός και την προσαρμογή της φωτεινότητας της οθόνης. Οι αισθητήρες περιβαλλοντικού φωτός μπορούν να χρησιμοποιηθούν για την καταγραφή εικόνων ή πλήκτρων για την κλοπή κωδικών πρόσβασης και δεδομένων. Μια ομάδα ερευνητών του MIT πρόσφατα δημιούργησε μια επιβεβαίωση εννοιολογικής δυνατότητας χρησιμοποιώντας χειρονομίες χεριού πάνω σε Android tablet που καταγράφηκαν από τον αισθητήρα περιβαλλοντικού φωτός για να καταγράψουν αλληλεπιδράσεις αφής.

Το ποντίκι σας μπορεί να ακούει τη συζήτησή σας

Αυτό είναι εξωφρενικό! Ένα ποντίκι δεν έχει μικρόφωνο ούτε ακόμη και ηχείο που να μπορεί να μετατραπεί σε μικρόφωνο για να ακούσει οτιδήποτε. However, υπάρχει μια επίθεση πλευρικού καναλιού γνωστή ως “Mic-E-Mouse” that enables an attacker to listen to your conversations through your mouse.

A high performance gaming mouse (high DPI) can be hijacked by its optical sensor, so when you talk, voice vibrations can be measured with these sensors. Using machine learning algorithms and data from mouse sensors, security researchers can identify intelligible speech from vibrations.

Side channel attacks are a type of physical attack that measures changes in device output while a device performs an action. This type of attack is usually more sophisticated and targets certain assets like encryption keys. However, if an attack method is developed for certain types of devices, it won’t be very difficult to expand it to other similar devices and even automate it.

Motion sensors (gyroscope) can be used to record your voice

Now that we learned your mouse can be used to record your talking, it’s good to know that motion sensors can also be used for the same purpose. This is important as almost all modern smart devices like phones and tablets have a gyroscope or motion sensor. The sensor acts as a vibrating device, making it perfect for side-channel attacks and to capture voice, as sound waves can produce tiny vibrations.

Your hard disk drive (HDD) noise can be captured to steal sensitive data

Now that we’ve learned about side channel attacks, there is a type of attack called DiskFiltration developed by a group of Israeli researchers that can capture sensitive data from the sound of a hard disk drive working. This type of attack is sophisticated and aims at devices with an air gap. Με συσκευές αεροστεγούς απομόνωσης, μια συσκευή δεν είναι συνδεδεμένη σε κανένα δίκτυο όπως το διαδίκτυο και συνήθως φυλάσσεται σε ευαίσθητες εγκαταστάσεις. Οι συσκευές αεροστεγούς απομόνωσης δεν είναι απαραίτητα άτρωτες σε κυβερνοεπιθέσεις. Ένα κλασικό παράδειγμα αυτών των επιθέσεων είναι το Stuxnet, το οποίο στοχεύει ιρανικά πυρηνικά συστήματα που ήταν όλα αεροστεγώς απομονωμένα.

Σε αυτόν τον τύπο επίθεσης, ένας επιτιθέμενος μολύνει τη συσκευή με κακόβουλο λογισμικό που αλλάζει τον τρόπο λειτουργίας της συσκευής. Το κακόβουλο λογισμικό μπορεί να εισαχθεί στο σύστημα από εισβολέα ή μέσω άλλων μεθόδων. Η συσκευή είναι αεροστεγώς απομονωμένη, έτσι το κακόβουλο λογισμικό δεν μπορεί να στείλει τίποτα έξω. However, καλεί τη συσκευή να λειτουργήσει με έναν συγκεκριμένο τρόπο ώστε ο βραχίονας της μονάδας να κινείται με ορισμένα μοτίβα. A nearby smartphone or device that is not air gapped can be used to capture the sound of the hard disk drive to decode it back to data while it is written or read on disk effectively removing the air gap.

Your computer fan can compromise your data

You have an SSD on your system and don’t use a cheap and noisy HDD. So if your device is air gapped, then sensitive data cannot be exfiltrated. Λοιπόν! Another group of Israeli researchers invented a method for you. Although your SSD doesn’t have an arm to rotate to make noise like with an HDD, your computer fan can be used to capture sound to compromise sensitive data from your air gapped computer. Σε αυτόν τον τύπο επίθεσης, malware first infects the air gapped system (perhaps by an intruder to a secured facility), τότε η ταχύτητα του ανεμιστήρα ψύξης θα αλλάξει με ορισμένα πρότυπα. Ο ήχος μπορεί να μεταδώσει τα δεδομένα σε μια κοντινή συσκευή ακρόασης.

Τα σήματα WiFi μπορούν να διαπεράσουν τους τοίχους σας

Τα σήματα WiFi αναπηδούν πάνω σε ανθρώπους μέσα σε ένα δωμάτιο. Ερευνητές μπορούν να δουν μέσα από τοίχους για να ξέρουν πόσα άτομα βρίσκονται στο δωμάτιο και να αναγνωρίσουν τα άτομα μέσω της κίνησης και της στάσης χωρίς να χρειάζονται κάμερα.