giovedì 17 gennaio 2008

Tempest acustico, quando servono le password

Dopo i sistemi magnetici e ottici, esaminiamo un'altra tipologia di intercettazione avanzata. A volte basta ascoltare che cosa dicono le tastiere.

Questo è il terzo di una serie di articoli (il primo, il secondo) indirizzati a dimostrare come la sicurezza che intendiamo comunemente sia di fatto distante da quella militare - e quindi quanto i nostri sistemi di fatto siano sicuri anche soltanto per il fatto che non sono oggetto d’interesse per determinate strutture. Molti delle tecnologie di cui parliamo erano riservati ai Servizi di Stato sia per restrizioni di legge sia per i costi proibitivi. In precedenza abbiamo visto come al giorno d’oggi sia il Tempest magnetico sia quello ottico al giorno d’oggi siano realizzabili con pochi soldi, meno di 2.000 dollari, facendo sì che queste tipologie d’attacco rischino ormai di entrare nel mondo dell’hacking povero.
Il Tempest magnetico indirizzato ai monitor dei computer ha un problema: non permette di vedere le password. A questo scopo entra in gioco un nuovo livello di tecnologia Tempest e precisamente quello acustico, che prende in esame il rumore della battitura dei tasti sulla tastiera del computer. I tasti di una tastiera possono dire molte cose: per esempio, che cosa stiamo scrivendo e anche chi siamo. Tant'è che un metodo poco conosciuto per identificare le persone che stanno usando un determinato computer è legato proprio al modo di digitare sulla tastiera (provate, per esempio, un programma come Keystroke Biometric).
Markus Khun ha documentato diversi metodi di attacco basati su sistemi microfonici direzionali: indirizzando il sensore verso un locale dove un operatore sta digitando su un computer è possibile sentire i tasti e quindi ricostruire le sequenze di caratteri tra i quali possono trovarsi dati importanti come password e codici di accesso. Qui dobbiamo fare una piccola divagazione legata al concetto di microfono: questo potrebbe essere una microspia inserita nel locale, un microfono direzionale puntato verso i locali o meglio ancora un microfono laser.
Quando parliamo di Tempest ottico, di Tempest acustico e di altro genere di Tempest ci riferiamo all’intercettazione di microeventi che non sono rilevabili dalla percezione umana, ma che al contrario possono essere facilmente ricevuti di da sistemi elettronici. Per restare nell’esempio del microfono laser, dobbiamo pensare che quando produciamo suoni all’interno di un locale questi fanno vibrare in modo impercettibile vetri e muri intorno a noi. Se da una certa distanza puntiamo un laser contro i vetri di una stanza, il segnale riflesso riporterà le vibrazioni del vetro, permettendoci di sentire la voce o il suono che ha creato l’effetto di vibrazione. Un microfono laser professionale con filtri antidisturbi costa caro, ma uno con minori prestazioni può essere fatto con pochissima spesa in casa propria.
Un microfono laser può essere fatto in casa con poca spesa, come dimostra questa serie di progetti. A questo punto, però, è necessario fare un appunto legato alla procedura usata in tutte queste metodologie, in quanto gli argomenti trattati fino ad adesso potrebbero portare chi legge a farsi idee errate. Abbiamo detto più volte che i sistemi adatti ad effettuare questi attacchi, grazie alle nuove tecnologie, sono a portata di chiunque. Ma come in tutte le situazioni, budget maggiori permettono di ottenere tecnologie di qualità migliore. Con un’attrezzatura di Tempest magnetico fatta in casa otterremo risultati fino a 15-20 metri di distanza, mentre le Agenzie di Stato parlano di centinaia di metri, in virtù del fatto che i loro budget hanno come solo limite l’obiettivo che si pongono di raggiungere. Ad ogni modo, che si spendano 1.000 dollari o che se ne spensa un milione, le procedure non possono essere considerate come sistemi con risultati immediati.
continua >>> l'articolo di Flavio Bernardotti pubblicato su Apogeonline
cheyenne

Nessun commento: