ATAK
MARIUSZ GIBKI
Elektro-skimming 
elektryczne wycieki
informacji
Stopień trudności
Twój PIN i osobiste informacje wędrują w sieci elektrycznej
i można je odczytać. Czy wiesz jak niewiele potrzeba, by
podejrzeć co wpisujesz na komputerze? Elektro-skimming
czyli podsłuch klawiatury przez sieć elektryczną stał się
faktem.
o jakiś czas w mediach można urządzeń wideo, a jedynie przy wykorzystaniu
usłyszeć o nowych sposobach na gniazdka elektrycznego. Dostępna staje
Cwydobycie pieniędzy z bankomatów. się więc jeszcze jedna metoda skimmingu.
Czy to poprzez zeskanowanie i wytworzenie Określenia skimming używa się do określenia
kopii karty czy to przez kradzież jej ataków typu Man in the middle, służących do
właścicielowi. W taki czy inny sposób kartę wykradania danych dotyczących wszelkiego
zdobyć można zawsze, jednak pozostaje rodzaju kart płatniczych i kredytowych.
kwestia kodu PIN, bez którego sama karta na Najpopularniejszą metodą tego typu ataku
niewiele się przyda. jest zastosowanie dodatkowego urządzenia
Istnieją różne sposoby pozwalające montowanego na szczelinie służącej
zdobyć kod PIN, od nakładki na klawiaturę do wprowadzania karty do bankomatu.
numeryczną bankomatu po instalację Atak pozwala na skopiowanie paska
mikro kamer, pozwalających zarejestrować magnetycznego karty i stworzenia jej kopii,
naciskane klawisze. Od niedawna pojawił się kod PIN w takim ataku rejestrowany jest
jeszcze jeden, nieco bardziej wyrafinowany mikrokamerą.
sposób. Wszystko za sprawą PS/2 Eksploracja dotycząca obszaru
protocol keyboard sniffer, czyli narzędzia emisji elektromagnetycznej była jednym
Z ARTYKUA
U
DOWIESZ SI
pozwalającego przechwycić uderzenia z najbardziej egzotycznych, a zarazem
w poszczególne klawisze na klawiaturze najciekawszych elementów dotyczących
jak wykorzystać sieć
elektryczną jako z
ródło
PS/2, analizując sygnały uziemienia w sieci zagadnień bezpieczeństwa informatycznego.
prywatnych informacji innych
elektrycznej. Już pod koniec lat 60-tych i początku lat 70-
osób,
Nie ma tu znaczenia zastosowanie HSM, tych udowodniono, iż każde urządzenie, przez
z jakich elementów składa
się urządzenie służące do
czy też aktualność aplikacji Diebold. Sposób które przepływa prąd elektryczny, jest z
ródłem
podsłuchiwania w sieci
ten został przedstawiony przez włoskich promieniowania elektromagnetycznego.
elektrycznej.
ekspertów od zabezpieczeń na konferencji Dotyczy to zarówno samych urządzeń jak np.
CO POWINIENEŚ
Black Hat, która odbywała się w Las Vegas. komputera czy bankomatu, jak i przewodów
WIEDZIEĆ
Zgodnie z zapewnieniami specjalistów jakimi te urządzenia są połączone z z
ródłem
znać podstawy elektrotechniki
Andrea Braisani i Daniele Bianco, zespołowi zasilania. Przepływ danych generuje
i zagadnień dotyczących
zjawiska elektromagnetyzmu i specjalistów wykorzystujących skonstruowane promieniowanie elektromagnetyczne o
przepływu prądu elektrycznego,
urządzenie udało się przechwycić kody określonej częstotliwości, głównie przez
znać podstawy budowy
PIN wpisywane we włoskich bankomatach monitor  bez różnicy czy jest to monitor CRT
komputerów i urządzeń
bez użycia kamer czy jakichkolwiek innych czy LCD. Promieniowanie emitowane jest
peryferyjnych.
32 HAKIN9 2/2010
ELEKTRO-SKIMMING
również przez porty, gniazda, skanery i pokazanie jak niewiele wysiłku i nakładu łącza znajduje się pod adresem: http:
inne urządzenia. Sygnał emitowany jest finansowego potrzeba, by umożliwić //www.computer-engineering.org/
również do sieci energetycznej, z której dostęp do informacji, które powinny ps2protocol/.
zasilanie czerpie dane urządzanie, a być bezpieczne. Sygnalizujemy fakt, iż Przewody umieszczone są
każdy z tych sygnałów niesie w sobie badania prowadzone w opisanym przez bardzo blisko siebie i oddziałują
określoną informację. Wystarczy ją tylko włoskich specjalistów materiale trwały wzajemnie na siebie promieniowaniem
odczytać. około tygodnia i już dawały wymierne elektromagnetycznym. Istnieje więc
W celu zapewnienia bezpieczeństwa rezultaty. Jaki wynik można zatem teoria, iż wyciek danych pojawia
na zlecenie Pentagonu została osiągnąć przy większym nakładzie się, gdyż pole elektromagnetyczne
sformułowana norma TEMPEST (ang. finansowym, jakim dysponują np. przewodu danych (PIN 1) przenosi się
Temporary Emanation and Spurious agencje wywiadowcze czy organizacje na przewód uziemienia ( PIN 3). Przewód
Transmission). Norma ta określa przestępcze? Ważne więc jest ogólne uziemienia wraz z osłoną kierowany
środki bezpieczeństwa wymagane uświadomienie tych niekonwencjonalnych jest do z
ródła zasilania (gniazdko
dla urządzeń przetwarzających dane, możliwych dróg wycieku informacji i elektryczne), a dalej połączenie
mające znaczenie dla bezpieczeństwa konsekwencji, jakie za sobą niosą. przechodzi do całej sieci elektrycznej w
narodowego Stanów Zjednoczonych. danej sieci energetycznej. W momencie
Na przestrzeni lat standard ten był Teoria pierwszego ataku naciskania klawiszy następują zmiany
wielokrotnie zmieniamy i publikowany pola elektromagnetycznego. Zmiany
pod różnymi nazwami ( NAG1A, FS222, te są również przesyłane dalej do
NACSIM 5100, NSCD). Zarówno normy, sieci elektrycznej, które mogą zostać
jak i technologia wytwarzania sprzętu przechwycone i odczytane. W tym
5 6
oznaczonego klasą TEMPEST, są miejscu dochodzi jeszcze czynnik
ściśle tajne, ale w pod koniec lat 70- 3 4 zakłóceń spowodowanych wahaniami
tych zezwolono na produkcję sprzętu zasilania i pracą innych urządzeń
1 2
oznaczonego tą klasą producentom w sieci, które trudno zidentyfikować,
prywatnym. Skrótem TEPEST określona ale jeżeli takie zakłócenia w ogóle
jest również technologia umożliwiająca występują, mogą powodować jeszcze
przechwytywanie obrazu z monitora większe wycieki informacji z danej sieci.
na podstawie promieniowania Częstotliwości sygnału, jaki emitowany
elektromagnetycznego (Transient " Pin 1  dane (Data), jest przez klawiatury typu PS/2, jest
ElectroMagnetic Pulse Emanation " Pin 3  uziemienie (Ground), niższa od jakiegokolwiek innego sygnału
Standard). Realizowany jest również " Pin 4  + 5 V DC, co sprawia, iż staje się on łatwy do
projekt Open Source o nazwie EckBox " Pin 5  zegar (Clock), odfiltrowania z wszystkich odebranych
umożliwiający samodzielne zbudowanie " Pin 2/6  nieużywane (Unused). sygnałów. Istnieją udokumentowane
urządzania przechwytującego obraz przypadki, omawiające problem wycieku
z monitora. Strona projektu: http: Złącze PS/2 używane jest w celu informacji tą drogą, ale nie prowadzono
//eckbox.sourceforge.net/polish/ podłączenia klawiatury i myszy do nad tym tematem większych badań.
index.html. systemu komputerowego typu PC. Jest Jednak ostatnio w wyniku wielu
Włoscy eksperci pracowali nad to port komunikacyjny opracowany niezależnych doświadczeń dotyczących
badaniami dwóch rodzajów ataku: przez firmę IBM i jest odmianą portu podsłuchiwania sieci poprzez
szeregowego. Więcej na temat samego uziemienie stwierdzono, że wspólne
" Przechwytywanie naciśniętych
klawiszy na klawiaturze PS/2.
" Podsłuch klawiatury laptopa
Gniazdko Gniazdko
sieciowe sieciowe
poprzez optyczne pobieranie energii
mechanicznej.
W tym artykule przedstawione zostaną
zmiana sygnału
techniki wykorzystania stosunkowo z analogowego
uziemienie
na cyfrowy
niedrogiego sprzętu, którym można
PC
samodzielnie wykonać podsłuch,
z klawiatur PS/2
przechwytujący naciśnięcia klawiszy na
uziemienie
klawiaturze. Techniki tu przedstawione
w dużej mierze opierają się na znanych
Rysunek 2. Schemat zestawu do podsłuchu uziemienia
już metodach, a celem tej publikacji jest
2/2010 HAKIN9 33
rezystor
150 Ohm
ATAK
uziemienie może działać jak antena. Dla przykładu podsłuchane naciśnięcie (np. jeżeli atak przeprowadzany
Z tego też względu atak na sygnał klawisza litery B przedstawia się jest w hotelu). Następnie należy
PS/2 jest bardzo atrakcyjny i trudny do następująco: dokonać pomiaru różnicy potencjałów
wykrycia. Główną zaletą jest również występujących na poszczególnych
seryjność danych. Każde naciśnięcie { 0 | 01001100 | 0 | 1 } końcówkach rezystora, który również
klawisza powoduje przesłanie 1 bitu wchodzi w skład zestawu.
informacji w danej jednostce czasu, Aby wykonać atak przy wykorzystaniu Z odczytanych sygnałów, które
a całość przesyłana jest w ramce, na uziemienia sieci, należy użyć można zarejestrować w sposób
którą składa się 11  12 bitów. Jak już specjalnie zmodyfikowanego przewodu pokazany na schemacie (Rysunek
wspomniano częstotliwość sygnału zasilającego, który podłączamy 2), należy jeszcze odfiltrować te
PS/2 jest bardzo niska i mieści się w blisko gniazdka zasilającego. Na pochodzące z PS/2. W celu uzyskania
granicach 10  16,7 Khz. przewód stanowiący sondę składają filtracji można zastosować proste
Przykładowa ramka danych wygląda się dwa haczyki, które zaczepiamy na filtry pracujące w zakresie 1-20 Khz.
następująco : przewodzie uziemienia. W zestaw musi Zastosowanie filtru jest tylko jednym
również wchodzić system uziemienia z możliwych sposobów filtracji,
{ Początek ( 1bit) | Dane (8 bitów) | sondy, czyli kolejny przewód, jaki można oczywiście należy zastosować taką
Parytet (1 bit) | Stop ( 1 bit) | ack zaczepić np. do rur kanalizacyjnych, metodę by uzyskać jak najlepsze efekty.
(1 bit) } które znajdują się w każdej łazience W przygotowanym na konferencję Black
Hat materiale użyto filtra FIR. FIR filter
(ang. Finite Impulse Response filter),
b0
czyli filtr o skończonej odpowiedzi
WYJ
WEJ
+
impulsowej to rodzaj nierekursywnego
filtru cyfrowego. Polski skrót jakim
Z-1
oznaczany jest ten filtr to SOI. W
b1
działaniu oznacza to tyle, że reakcja na
wyjściu tego układu na pobudzenie o
skończonej długości fali jest również
Z-1
bn
skończona (przez długość pobudzenia
i odpowiedzi rozumiemy tu długość
odcinka czasu, dla którego próbki
sygnału przyjmują wartości niezerowe).
Rysunek 3. Schemat filtra FIR (z
ródło: Wikipedia)
Aby warunek ten mógł być spełniony,
w filtrach tego typu nie występuje pętla
sprzężenia zwrotnego, co przedstawia
poniżej schemat.
Do obliczeń natomiast posłużono
się darmowym oprogramowaniem
Scilab. Jest to stworzony w 1990 przez
francuski narodowy instytut badań
w dziedzinie komputerów (INRIA)
program naukowy, służący do obliczeń
numerycznych. Aplikacja porównywana
jest do komercyjnego MATLaba.
Oficjalna strona pakietu : http://
www.scilab.org/.
Pierwsze próby przeprowadzane
były w laboratorium fizyki jądrowej.
Sieć takiej instytucji zawiera w sobie
dużo więcej sygnałów dodatkowych
(szumów) niż przeciętna standardowa
instalacja stosowana w budynkach
mieszkalnych, przez co wymaga
większych korekcji błędów. Badania
przeprowadzone w tak trudnych
Rysunek 4. Scilab  przykładowy zrzut ekranowy
warunkach są doskonałym przykładem
34 HAKIN9 2/2010
ATAK
przedstawiającym skuteczność metody? Wybieramy cel ataku zestawu służącego do elektro-
tego rodzaju ataku, szczególnie  osoba korzystająca z komputera skimmingu i jego cena może sprawić,
jeżeli atak będzie przeprowadzany w znajdująca się w tym samym budynku że w krótkim czasie organizacje
standardowych warunkach. Testowo co atakujący (hotel, miejsce pracy przetwarzające cenne informacje
pomiar wykonany był w odległości itp.). Atakujący musi podpiąć się do spotkają się z tego rodzaju problemem.
1, 5, 10 i 15 metrów od urządzenia, tej samej sieci elektrycznej, do której Czy warto już dziś zastanowić się
jakie miało być szpiegowane. W podpięty jest komputer, mający być nad możliwością uchronienia się
wszystkich przypadkach przy użyciu celem ataku. A
atwo można zrobić to w przed takim zagrożeniem? Należy
oscyloskopu dało się zmierzyć hotelu, wybierając pokój pod lub nad wziąć pod uwagę koszt eksperta od
wahania pola elektrycznego, jakie pokojem ofiary. Gdy znajdzie się już zabezpieczeń i potrzebnych urządzeń
występowało w sieci uziemienia. dogodne miejsce, można przystąpić zabezpieczających i porównać go z
Pomimo iż sygnał zawierał mnóstwo do działania prowadzącego do możliwymi stratami, jakie mogą się
sygnałów niezawierających żadnych zdobycia informacji. Należy pamiętać, zdarzyć, jeżeli komuś uda się
informacji spowodowanych topologią że celem może być również bankomat wykraść informacje stosując elektro-
sieci, jaka występuje w laboratorium znajdujący się w tym samym budynku skimming.
fizyki jądrowej, udało się bez większych co atakujący i podłączony do tej samej
trudności przy użyciu filtra FIR sieci elektrycznej. Dobrą informacją Podsumowanie
odfiltrować sygnał, emitowany przez dla atakującego jest również fakt, iż Podsumowując, ku przestrodze
klawiaturę typu PS/2. Wyniki pomiarów obierając za cel bankomat informacje, interesujący może być fakt prostoty
były bardzo zbliżone, niezależnie jakie będzie trzeba odfiltrować metody i wielkość szkód, jakich można
od odległości, w jakiej dokonywano to z reguły 4 cyfry kodu PIN, więc dokonać zdobywając informację
nasłuchu. W tym miejscu należy filtracja ogranicza się do 10 znaków dotyczącą PIN-u bankomatowego,
również wspomnieć, że współczynnik numerycznych. Trudnością jaką czy też loginu i hasła do serwisu
tłumienia drutu wykonanego z miedzi może napotkać atakujący jest fakt, iż bankowego oraz innych cennych
ma znaczenie w przypadku wyższych użytkownik może skorzystać z laptopa informacji, jakie przekazujemy
częstotliwości niż te, które mierzone pracującego na baterii, nie podłączając drogą elektroniczną, wpisując je z
są w przypadku PS/2. To jeszcze go do żadnej sieci elektrycznej. klawiatury komputera. Nie chodzi tu
bardziej podnosi skuteczność ataku z już o podsłuchanie rozmów przez
większych odległości. Podsumowując Jak się uchronić? komunikator internetowy żony, męża czy
można śmiało powiedzieć, że wyciek Najprostszym sposobem jest sąsiadki. Metoda ta daje możliwość
informacji poprzez sieć elektryczną wykorzystanie innego z
ródła zasilania zdobycia zdecydowanie bardziej
jest jak najbardziej możliwy i podsłuch sprzętu niż sieć elektryczna budynku, prywatnych i cennych informacji
taki można wykonać przy niskich w jakim się znajdujemy. A
atwo można osobistych, dzięki którym atakujący
nakładach finansowych. Nasuwa się to zrealizować korzystając z laptopa, może podszyć się pod tożsamość
również oczywisty wniosek, że przy ale jak wiadomo jest to rozwiązanie swojej ofiary. Wystarczy wyobrazić sobie
wykorzystaniu bardziej czasowe. Innym sposobem jest fakt, gdy jednego dnia dokonujemy
profesjonalnego i droższego sprzętu o zastosowanie nadajników sygnału o przelewu internetowego za zakupy w
większej czułości atak tego typu wartościach 20-30 Khz, imitujących sieci, a następnego płacąc kartą w
mógłby być z powodzeniem działanie PS/2 montowanych np. markecie dowiadujemy się, że nie ma
przeprowadzony z dużo większej za wtyczką klawiatury lub wprost środków na koncie. Gdzie zgłosić tego
odległości. w instalacji sieci elektrycznej typu zdarzenie i jak udowodnić, że
pokrywających się z możliwymi do logujący się do serwisu użytkownik to
Przykładowy scenariusz odfiltrowania sygnałami PS/2. Być nie my sami?
ataku może na tę chwilę zagrożenie nie
Jak mógłby wyglądać atak przy jest jeszcze tak poważne, jednak
wykorzystaniu przedstawionej łatwość wykonania potrzebnego
Bibliografia
Mariusz Gibki
" Materiały konferencji Black Hat  BHUSA09 Barisani KeyStrokes PAPER,
Specjalista IT, programista baz danych, pasjonat
" Joe McNamara, The Complete, Unofficial TEMPEST Information Page technologii informatycznych i zagadnień
bezpieczeństwa informatycznego. W wolnym
" Wikipedia.com
czasie twórca stron WWW i programista aplikacji
komputerowych w językach (C#.NET, VB.NET).
Kontakt z autorem: mariusz.gibki@gmail.com.
36 HAKIN9 2/2010