Cómo comprometer teclados conectados por cable

 

 

Enviado por Andy el 21 Octubre 2008 - 11:38am

Original: Martin Vuagnoux y Sylvain Pasini
Traducción para Kriptópolis por Andy.

Los teclados de ordenador se utilizan a menudo para transmitir información sensible, tales como nombre de usuario / contraseñas (por ejemplo, para acceder a los ordenadores, para transferir de dinero por medio de banca electrónica, etc.) Una vulnerabilidad de estos dispositivos definitivamente mataría la seguridad de cualquier ordenador o cajero automático.

Los teclados conectados por cable emiten ondas electromagnéticas porque contienen componentes electrónicos. Estas ondas electromagnéticas podrían revelar información sensible, tales como las pulsaciones de teclado. Aunque Kuhn ya había clasificado a los teclados como de riesgo, no hemos encontrado ningún experimento o prueba que demuestre o refute la viabilidad práctica de captar las pulsaciones de teclado a distancia, especialmente en los teclados modernos...

Para determinar si los teclados conectados por cable generan emanaciones comprometedoras, medimos la radiación electromagnética emitida cuando se pulsan las teclas. Para analizar el peligro de radiaciones, por lo general utilizamos un receptor sintonizado en una frecuencia específica. Sin embargo, este método puede no ser óptimo: la señal no contiene la máxima entropía, ya que una cantidad significativa de información se pierde.

Nuestro enfoque es adquirir la señal directamente de la antena y trabajar en todo el espectro electromagnético capturado.

Hemos encontrado 4 maneras diferentes (incluido el ataque de Kuhn) que permiten una recuperación total o parcial de las pulsaciones de teclado con cable a una distancia de hasta 20 metros, incluso a través de las paredes. Hemos probado 11 modelos diferentes de teclado con cable comprados entre 2001 y 2008 (PS/2, USB y portátiles). Todos ellos son vulnerables a por lo menos uno de nuestros 4 ataques.

Llegamos a la conclusión de que los teclados ordenador por cable que se venden en las tiendas generan emanaciones comprometedoras (principalmente debido a las presiones de los costos de diseño). Por lo tanto, no son seguros para transmitir información. No cabe duda de que nuestros ataques pueden ser mejorados significativamente, ya que utilizan equipos relativamente baratos.

Publicaremos en breve más información sobre estos ataques, el documento se encuentra actualmente en un proceso de revisión con el objeto de dar una conferencia.

Video del Experimento 1 Flash o para descargar (40Mb).
Video del Experimento 2 Flash o para descargar (32Mb).

 

Relacionadas:

Comentarios

Selecciona arriba tu forma preferida de visualizar los comentarios y pulsa el botón para guardar tu elección para próximas visitas (sólo si eres usuario registrado).
anónimo's picture

Esto me hace acordar

Enviado por anónimo el 21 Octubre 2008 - 12:01pm.

Esto me hace acordar a aquella técnica para captar la radiación de los monitores CRT y poder ver las imágenes a distancia (no mucha por cierto, pero también traspasa paredes).

gonav's picture

TEMPEST

Enviado por gonav el 21 Octubre 2008 - 1:28pm.

Protección EM/EMC: un Acercamiento a los Niveles de Seguridad TEMPEST. D. Fernando Bahamonde (Information Systems Security Association ISSA - España). Madrid, DISI 2006

http://www.criptored.upm.es/descarga/DISI06_SeguridadTEMPEST_FB.zip

moko's picture

Criptonomicón

Enviado por moko el 21 Octubre 2008 - 2:03pm.

Si te interesa el tema y tienes ganas de leer una novela apasionante en la que se tratan todas estas cosas, te recomiendo Criptonomicón, de Neal Stephenson. Lectura obligada para todos los lectores de Kriptópolis.

anónimo's picture

*Offtopic*

Enviado por anónimo el 21 Octubre 2008 - 10:46pm.

*Offtopic*

Con todo el respeto, a mi me pareció una novela muy, pero muy sobrevalorada.

Es tediosa, no tiene ritmo, no engancha, cada tres paginas, dos son relleno... vamos un tostón en toda regla. Estoy convencido que todo el "exito" que ha tenido es más fruto de "que "cool", que soy, mira los "trochos" que me leo" que de lo interesante que es la narración.

No comprendo como tratando temas tan interesantes y apasionantes se puede escribir algo tan malo. Y mira que para que me defraude a mi una novela ha de ser mala, que tengo cada joyita...

Pero bueno, para gustos los colores;)

anónimo's picture

Re: Offtopic

Enviado por anónimo el 22 Octubre 2008 - 7:40am.

Sin ofender, Cryptonomicon te parecerá mucho, pero mucho mejor si:

- sabes de historia
- sabes de matemática
- sabes de física
- sabes de criptografía
- sabes de telecomunicaciones
- sabes de algoritmos informáticos
- sabes inglés (el libro en castellano pierde la mitad de su encanto)

A mi me ha parecido un libro indispensable para los que vivimos de ésto.

anónimo's picture

*Offtopic y no insisto más

Enviado por anónimo el 22 Octubre 2008 - 10:25pm.

*Offtopic y no insisto más que me va a matar el admin :)*

Conocimientos a excepción de inglés en la que estoy más flojo (por que soy un vago XD) tengo suficientes para entender que la novela me pareció una verdadera plasta, infumable y aburridisima.

No por los temas te vuelvo a recalcar (o crees que entro en esta página para incordiar, algo me gustará el asunto) si no, por lo mal escrita que está. No puede ser que el traductor haya metido tanta paja y del ritmo narrativo mejor ni hablamos.

Pero bueno, insisto, para gustos, los colores.

P.D No me creo que la novela sea indispensable para vivir de nada para nadie, excepto para los interesados directos en su venta. Ahí "te has pasao" ;)

anónimo's picture

Criptonomicón

Enviado por anónimo el 22 Octubre 2008 - 8:36am.

Hombre, no es una maravilla de novela, pero se deja leer. Un poco paranoica, pero ya vemos que la realidad supera a la ficción :-)

Para tocho, la serie de Azogue del mismo autor.

anónimo's picture

Ya ni....

Enviado por anónimo el 21 Octubre 2008 - 12:21pm.

Ya ni los teclados con cable. Sabía que los inalámbricos eran peores que la defensa del Atleti, pero encima los de cable...

He leído "baratos"; tengo en casa un teclado de esos tipo viejos de IBM (con su característico clac-clac, tacto, etc.), pero moderno y que se vende en no me acuerdo ahora cuál web (en todo caso, de los estados gringos). El ioputilla del teclado me costó creo que 100 pavos, así que barato no es. ¿Estaría a salvo?

Iba a decir que me vuelvo a los sobres y los sellos, manuscribiendo con mi horrible caligrafía (me río yo de la criptografía), pero fijo que ni eso. Aunque no sé, visto que a veces no sé ni lo que escribo... suerte de mi ortografía...

(oigan: no he visto lo del acertijo anti-spam)

anónimo's picture

ese peor

Enviado por anónimo el 21 Octubre 2008 - 3:55pm.

Ese teclado no emite ondas... basta con escuchar el claqueteo un rato para saber la tecla pulsada.... y también traspasa paredes "hoiga"

(perdón, no me he podido resistir ;))

Andy's picture

...pues si

Enviado por Andy el 21 Octubre 2008 - 5:12pm.

He leído "baratos"

En el artículo menciona "baratos", pero no refiriéndose a los teclados, sino a los equipos utilizados para capturar las señales. Dicen que el ataque puede ser mejorado, sobretodo teniendo en cuenta que ellos utilizaron equipos baratos.

Iba a decir que me vuelvo a los sobres y los sellos

Pues mas bien habrá que buscar alguna comunidad Amish. Si, de esos que no utilizan electricidad, ni coches, ni teléfonos...