Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Onderzoekers lezen data van computers door schermhelderheid te manipuleren

Beveiligingsonderzoekers van de Israëlische Ben Gurion-universiteit hebben een manier gevonden om data van een computer af te lezen door de helderheid van een monitor te manipuleren. Daarvoor moet eerst malware op zo'n air gapped-computer worden gezet.

Het gaat om academisch onderzoek naar mogelijkheden om heimelijk gevoelige data te onttrekken aan systemen die niet op internet zijn aangesloten. De onderzoekers richten zich daarbij op display-to-cameracommunicatie, dat hiervoor in toenemende mate in de belangstelling staat, vanwege de groei van het aantal aanwezige videocamera's en smartphonecamera's.

In het onderzoeksrapport beschrijven de onderzoekers hoe zij kleine hoeveelheden data kunnen aflezen op basis van minuscule veranderingen van de helderheid van een beeldscherm. Daarvoor plaatsen zij malware op een computer, die een van de rgb-componenten van elke pixel licht wijzigde. Dat gebeurt op een dusdanige manier dat gebruikers de kleur- en helderheidsveranderingen bijna niet kunnen opmerken.

De bedoeling is dat de malware gevoelige data van een systeem verzamelt en deze codeert naar een bitstream. De malware moduleert die reeks nulletjes en eentjes vervolgens naar corresponderende veranderingen van de helderheid van de subpixel. Vervolgens slaagden ze erin om met een camera de veranderingen van de helderheid te registreren en de data zo 'uit te lezen'. Ze beschrijven hoe ze zo een sequentie van '1010101010101010' te extrafiltreren vanaf een 19"-scherm op een bitrate van 5bit/s, met een camera die op zes meter van het scherm stond.

Toepassing in de praktijk is wel lastig, omdat de losstaande computer alsnog moet worden geïnfecteerd met specifieke malware. Het onderzoek werd gedaan door wetenschappers van de Ben Gurion Universiteit in Israël. Dat team doet vaker onderzoek naar manieren om air gapped-computers af te luisteren door er malware op te zetten. Zo wisten zij in eerder onderzoek data te exfiltreren door lampjes op een modem te manipuleren, door te luisteren naar het geluid van harde schijven, en via de de led-lampjes van beveiligingscamera's.

Door Tijs Hofmans

Redacteur privacy & security

06-02-2020 • 11:24

67 Linkedin

Reacties (67)

Wijzig sortering
Dit principe had mijn https://en.wikipedia.org/wiki/Timex_Datalink horloge ook..
Die had een camera welke je voor je (CRT) monitor hield waar de software een lichtcode door stuurde..
En het lijkt ook op de techniek in de "Duck Hunt" pistolen voor de oude SNES e.a.!

[Reactie gewijzigd door Mushroomician op 6 februari 2020 15:55]

Ja inderdaad nu je het zegt, dat was vergelijkbaar :)
Als je denkt dat dit nauwelijks te doen is, of dat deze techniek al lang bekend was, bedenk dan dat dergelijk onderzoek niet alleen iets oplevert vanuit het perspectief van een aanvaller, maar net zo goed dat van een verdediger. Jaren geleden realiseerde men zich dat het een slecht idee was om een computer voor besturing van bijvoorbeeld sluizen, waterkeringen en energiecentrales aan te sluiten op internet. Daarna dat toegang van externe drives misschien niet verstandig was, en nu bedenken meer mensen dat een camera in de buurt misschien ook niet veilig is. Het moet allemaal inderdaad beginnen met de kapitale fout van infectie, maar zoals eerder aangehaald is dat nooit onmogelijk. De boodschap is dat je je nooit veilig moet wanen door alleen een air-gap. Wat gisteren onmogelijk werd geacht, is vanochtend alleen nog maar onwaarschijnlijk, vanmiddag een proof of concept en morgen een hack. Dit onderzoek is dus niet nutteloos of 'al gedaan' maar draagt bij aan de veiligheid van infrastructuur.
ja maar goed...als er een camera op dat beeld staat gericht, kan een aanvaller toch ook gewoon inzoomen en schermprints maken? of ben ik dan te makkelijk bezig?
dit dacht ik dus ook. als je al toegang hebt tot een camera dat gericht staat op een scherm. hoezo zou je dan die computer ook nog eens infecteren als je simpel op record kan drukken? wellicht dat je data kan versturen die niet direct wordt weergegeven op deze manier. maar om grote datasets te versturen met 5bit/s is de praktische toepassing toch minder interessant.
Met de camera kan je normaal natuurlijk alleen bij de data die actief op het scherm wordt getoond. Via deze techniek kan je in principe overal bij, ook al zal het nooit op het scherm komen. Bijvoorbeeld de vaak voorkomende toetsencombinaties die je keylogger op de achtergrond geregistreerd heeft (lees: gebruikersnamen en passwords)
Maar als het een air gaped device is hoeveel heb je dan aan een Gebruikersnaam en wachtwoord. Ik begrijp je standpunt alleen dan moet je alsnog fysiek bij het apparaat komen. Je kan dan wel “gemakkelijker” inloggen maar toch.
Het kan om een Standalone gaan, maar dat betekend niet dat je account enkel op dat device geldig is. Tevens is het handig indien je een infiltrant hebt, dat hij/zij U&P weet voordat er op de machine geprobeerd wordt in te loggen.
Vele opties..
Andere belangrijke opties als (nucleaire) sleutels voor andere systemen, zijn bijvb. Ook zo makkelijker te bemachtigen.
Dus ze moeten een airgapped computer infecteren en toegang krijgen tot een camera die op het scherm gericht staat. Ok man. Mooi werk.
Nee, ze moeten toegang krijgen tot het systeem met het scherm. Dus je moet het systeem waar je data van wilt stelen eerst infecteren.

Als je verder geen line of sight tot het scherm hebt met een camera, dan zul je inderdaad ook nog eens een systeem moeten infecteren waar je de camera van gebruikt.

Ik vind het een enorm omslachtige oplossing. Je moet dus het systeem infecteren, en dan maar zorgen dat je of op een bepaalde tijd zicht op het scherm hebt, of constant gaan zitten broadcasten in de hoop dat het niet op gaat vallen en je ooit een line of sight met een camera krijgt.

Je zou het natuurlijk ook remote kunnen triggeren, maar dan kun je met meer dan 5 bits per seconde ook wel die data terug sturen.
De malware kan vanalles sturen natuurlijk, dus wat er op het scherm te zien is en wat de malware doorstuurt, kunnen hele verschillende dingen zijn.

Het is maar net hoe de malware ingesteld is en waar hij naar moet zoeken.
In de praktijk niet uit te voeren. Het hele nut is er vanaf omdat je eerst de computer moet zien te infecteren.dan kun net zo goed zelf even op het schermpje kijken. Je kan ook gewoon het scherm opnemen met een camera.
Het is wel mooie techniek, vraag me alleen af waarom het ontwikkeld wordt.
Ben wel beetje klaar met die digitale computer oorlog.
Niet alle data dat je wilt is op het scherm zichtbaar. Malware kan ook door een software leverancier geleverd worden die weer andere data van jou wilt of in opdracht van een ander werkt of zelfs niet eens weet dat die malware levert aan jou, maar zelf is gehackt hiervoor. Daarna alleen nog een minicamera met accu plaatsen. Een insider kan dat elke dag plaatsen en weer meenemen.
Ik vind het te doen, laten we stuxnet niet vergeten.
Als je een ‘insider’ hebt – of regelmatig een aannemer binnen laat die niet te vertrouwen is zoals bij stuxnet – is je beveiliging zo lek als een mandje en zijn er 100 varianten van spionage / sabotage mogelijk.
Als men zelf toegang heeft, is dit dus helemaal niet nodig. Het gaat erom dat men een USB kan infecteren van iemand die daar werkt. Die gaat vervolgens de pc infecteren. De malware kan dan eender wat het vind beginnen uitzenden via het scherm en de bad-guys kunnen dan niet enkel zien wat er op de monitor getoond wordt, maar ook informatie die de malware interessant vind.
Vaak hebben die Airgapped PC's een camera erop gericht voor beveiliging.

ze hoeven dan maar 2 systemen te infecteren.
waaronder de server voor de beveiligings beelden.
hierdoor kunnen ze de beelden vaak achteraf terughalen.
Helaas is deze methode niet realtime.
In de meeste gevallen zou een beveiligingscamera niet op het scherm gericht zijn, alleen op de plek voor het scherm. Daarmee kun je dan zien wie er achter de computer zit maar zou niet iemand met een basis beveiligingsfunctie direct alle gevoelige gegevens op die computer kunnen bekijken.

Wanneer een camera wel direct op het scherm gericht staat gaat het als het goed is nooit om een computer met hele geheime gegevens, maar dat zal in de praktijk vast wel eens voorkomen.
En volgende week lezen ze de data af van de weerspiegeling van je bril en over een maand van je contactlens.
Dat zijn dan wel hele dure beveiligingscamera's....
Kwestie van CSI Enhance gebruiken :P
of er wordt een plugje gemaakt die het signaal voor de monitor meteen aftapt en doorstuurt...zo moeilijk zal dat ook niet zijn en wie kijkt er nou iedere dag naar de plugjes van zijn monitor?
Dat is te zien en dan is bekend dat er is gelekt. En genoemde security camera kan gelijk de mol identificeren.

Het is lage bitrate, maar ook erg lage kans op detectie van dataoverdracht op die manier. Erg indirect en subtiel.
maar dat kan ook als je eerst met een usb stick malware erin moet zetten.
Ik denk persoonlijk dat het eerder opvalt dat een computer 'neventaken' aan het uitvoeren is (want dat wordt vaak wel op 1 of andere manier gemonitord) dan dat een klein extra plugje aan de achterkant vd monitor op zou vallen...je hebt er nl niet heel veel voor nodig, een klein verloopje met een zendfunctie.
malware kan ook gedetecteerd worden en heeft als nadeel dat als het ergens ter wereld wordt geconstateerd er gelijk allerlei beveiligingsbedrijven op duiken om 't te gaan detecteren en verwijderen. De kans dat je daarmee gepakt wordt, lijkt me dus veel groter dan wanneer je een klein hardwarematig device gebruikt wat wss alleen op zal vallen als de computer of monitor ooit vervangen zal worden.
Zijn punt was dat een airgapped machine infecteren al een heel lastige stap is.. niet onmogelijk maar wel lastig..
En het feit dat je daarna ook nog een goede camera op het scherm gericht moet hebben geeft een theoretische manier van data leaks, maar in de praktijk zal die kans erg klein zijn..

Wel mooi 'out of the box' denkwerk :)
Op het moment dat je een airgapped computer fysiek kunt compromitteren dan is dat het probleem. Een camera die gericht is op een airgapped computer is onwaarschijnlijker. Kortom, leuke POC maar verder nutteloos.
De computer hoeft natuurlijk niet per se airgapped te zijn op het moment van infectie.
Dat is hij wel, anders heb je namelijk functioneel weinig aan een airgap. Een airgapped systeem hang je niet aan het internet. Nooit. Ook niet voor firmware updates. Ook niet voor security of reliability updates.
Bij goed gebruik uiteraard niet, zeker niet tussentijds. Maar het kan voorkomen, bijvoorbeeld alleen kortstondig voor hij als airgapped in gebruik wordt genomen.
Dat laatste is waar het hier om gaat. Na 200 van dit soort ideeën is er soms wel 1 die opeens in 1 specifiek geval misschien echt nuttig is. Ook al is het maar 1x.
Ja, best wel. Maarja, dan moet je wel verder kijken dan je neus lang is.

Je kan niet zoals in een film, een airgapped computer midden in de nacht stiekem booten en er dan data vanaf stelen. Als de computer ook nog dagelijks gebruikt wordt is dat bovendien slechts een snapshot en daarom ook zinloos.

Je kan er maar kort bij. Het mag niet opvallen. USB stick er in, er uit en dan moet je weg zijn. Data kopieren duurt te lang.

Als je van buiten een kantoorpand (zoals het ministerie van buza) een scherm kan zien kan je idd met dit soort methodes langzaam maar zeker data naar buiten hijsen.
Dat hoeft helemaal niet zo moeilijk te zijn.
Fysieke toegang is wel nodig, maar meer dan een USB stickje in de achterkant welke niet direct zichtbaar is al voldoende.

En als we dan nog een stap verder gaan kan die usb stick direct het beeld, toetsaanslagen, etc doorsturen.Er zijn zelfs gsm oplaadlabels met ingebouwde sim kaart voor een tientje.

[Reactie gewijzigd door Bender op 6 februari 2020 11:40]

Een wifi dongle laten inpluggen door Ethan Hunt.
Fysieke toegang is wel nodig, maar meer dan een USB stickje in de achterkant welke niet direct zichtbaar is al voldoende.
Da's dan een slecht beveiligde airgapped computer.
Aangezien ze dit ontdekt hebben zullen ze ook wel in staat zijn om een programma te schrijven dat controleert of deze facetten goed genoeg zijn om bovenstaande uit te voeren. Ik weet niet hoe gevoelig de sensor moet zijn om de veranderingen van het licht uit de monitor waar te nemen en ze zullen dit waarschijnlijk niet delen. Camera's in telefoons worden steeds beter, en lang niet alleen de telefoons die we in huis halen hebben camera's. Denk ook aan de rage rond Ring en Simplisafe. Het deed me een beetje denken aan deze video. Als het lukt bij een op de 10.000 kan dit nog steeds een gat zijn in het ontwerp en zullen bij volgende iteraties van het product de designers er rekening mee (moeten) houden.

[Reactie gewijzigd door rubenkemp op 6 februari 2020 11:43]

juist in bepaalde terreinen waar ook het risico enorm is, kan men juist op zulk een wijze langer ongedetecteerd blijven en des te waardevoller zijn om bv informatie uit te lezen.

bv het STUXNET virus was ook specifiek ontwikkeld voor bepaalde PLC's van Siemens die specifieke processen aansturen via een SCADA netwerk en gebruikte bepaalde zwaktes van een specifiek drive-systeem.
Bv het ongedetecteerd blijven, maar wel kunnen functioneren (en beschadigingen voortbrengen) was een belangrijk doel.
Dat het ontdekt werd is vermoedelijk enkel gekomen door een programmeerfout, die ervoor zorgde dat de worm zich ook naar een persoonlijke computer van een engineer verspreidde die onderhoud moest doen, en hierna verder zich verspreidde toen deze hiermee het internet op ging.

De ontwikkeling hiervan moet meerdere tientallen miljoenen dollars gekost hebben (of meer, de preciese doelen zijn nog altijd niet geheel bekend,w el wordt vermoed dat het ontstaan is als onderdel van een samenwerking tussen israelische en amerikaane inlichtingendiensten, 'Operation Olympic Games' zou de codenaam zijn, alhoewel nog niet officieel bevestigd).


Voor groepen die zulke zaken ontwikkelen is ook deze mogelijkheid zeker een interssant concept, dat ze zeker zullen kunnen toepassen voor bepaalde doelen, waarbij het belangrijk is onopgemerkt systemen te besmetten en bv informatie eruit te kunnen halen, ook als de betreffende systemen zelf een direkte netwerk-aansluiting hebben
Wel gave techniek.
Zou een 'privacyscreen' die je ook op sommige laptops hebt roet in het eten kunnen gooien?
Het helpt wel want de kans dat een camera het beeld ziet word veel kleiner..
Maar een camera die precies in de lijn van de gebruiker staat zal het wel kunnen zien in theorie..
Maarja, dan zit de gebruiker er met zijn/haar kop/romp voor.
klopt, maar over shouder meekijken kan nog wel.. maar de hoek waaronder het kan is iig een stuk kleiner..

Dus het helpt zeker maar is niet 100% foolproof..
Doet me denken aan het afluisteren van mensen die aan het praten zijn in een ruimte. Door hun stem trillen de objecten minuscuul in de kamer. Deze trillingen worden dan met speciale apparatuur waargenomen van buitenaf (bijvoorbeeld door het raam) en terug omgezet naar geluid.

Ik denk dat er hier eens een tweaker artikel over was. *Even zoeken* *gevonden*

Edit: nieuws: Wetenschappers reconstrueren geluid uit stille videofragmenten

[Reactie gewijzigd door Wux op 6 februari 2020 11:37]

Mechanische toetsenborden zullen vast ook kwetsbaarder zijn voor TEMPEST.
Een camera op zes meter van een air-gapped computer is ook nogal een beperking wat betreft het praktisch nut, maar wel een leuke truc. Duurde even voor ik snapte wat er bedoeld werd - ze lezen niet wat er op het scherm staat, maar gebruiken schermhelderheid om gevoelige data van het systeem te encoden. Soort van steganografie maar dan met aardappel anders.
Een camera op zes meter van een air-gapped computer is ook nogal een beperking wat betreft het praktisch nut
Het lijkt me te verwachten dat er in de buurt van de air-gapped computer vaak een andere computer staat die wel op internet is aangesloten. Als dat op een tafel is die tegen de tegenoverliggende muur staat (in een niet al te grote kamer), dan is aan de voorwaarden voldaan. Mits die andere computer natuurlijk een camera heeft.
Als je iets zo veilig moet hebben dat je er een air-gapped PC voor nodig hebt, maar wel een camera toelaat in dezelfde kamer, dan doe je denk ik iets verkeerd.
Dit doet me denken aan een tweedejaars practicum elektrische omzettingen bij de studie elektrotechniek in Delft: hoe data op een alternatieve manier te communiceren. Alternatief medium was eigenlijk de opdracht. Ik heb destijds via temperatuur communicatie gerealiseerd. Was logischerwijs nog trager dan 5bps.
Maar goed, dit lijkt me redelijk elementair.
Als je toch een camera op het scherm gericht hebt, kan je dan niet een QR code in de achtergrond embedden? Lijkt me sneller communiceren.
Een QR code gaat iets meer opvallen dan een enkele licht flikkerende pixel.
Niet perse. En camera kan via algoritmes meer oppikken dan het menselijke oog en brein
in feite kun je overal mee communiceren zolang je maar een 0 en 1 waarde hebt (ofwel een verschil tussen basis en niet basis waarde).
dus warmte, kou, helderheid, kleuren, windstootjes, geur, etc etc etc...als je maar consequent in staat bent het verschil tussen 0 en 1 aan te geven. daarnaast hoeft eigenlijk maar 1 waarde consistent te zijn, want dan kun je al zeggen: als het niet dat is, dan is het dat andere.
wel gaaf om dat uit te (kunnen) werken :)
Je zou dit kunnen doen door een permanente overlay weer te geven die heel subtiel is over het hele scherm met een bewegende QR code, dan kom je gok ik al snel boven de 5bps uit.
Ik vind dit wel heel interessant. Stel je hebt een systeem dat geen verbinding met de buitenwereld heeft. Hooguit een closed netwerk. Zit te denken aan situaties zoals in Mission Impossible waar ze de NOC list stelen. Je infiltreerd de organisatie. Zorgt dat je toegang krijgt tot het systeem en plaatst malware. Daarna kun je weglopen. Je hoeft de data niet fysiek te kopieren en deze naar buiten te smokkelen. En camera die het systeem in de gaten houdt kan het systeem dan uitlezen met deze techniek. Klinkt vergezocht, maar ik denk in specifieke spionage omstandigheden zou dit misschien nog werken ook. Leuk als Proof of Concept. En ik denk dat het misschien zelfs nog potentie heeft ook. Zoiets als typistes die vroeger typemachines afluisterden en op basis van het geluid konden noteren wat de typemachine op papier zetten.
Maar stel dat ze niet 1 pixel gebruiken waarvan ze bv de rode led veranderen in helderheid, maar het scherm in bv 15 vakken opsplitsen, is het al 80bit/s of 10bytes/s.
Dat deden we in het jaar kruik al. 4Gb op een videoband opslaan. En acuut hoofdpijn als je naar het scherm kijkt.

[Reactie gewijzigd door latka op 6 februari 2020 12:22]

Als een aanvaller fysieke toegang tot een systeem heeft gehad kun je het sowieso niet meer vertrouwen, dus hoewel ik het principe hiervan best cool vind zie ik er het praktisch nut niet zo van.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True