キーボードは出力デバイスですか？

研究は私のワークフローの不可欠な部分です。 私はソフトウェア、ソースコード、オペレーティングシステム、腺-あなたの手が届くすべてのもの（よく、または上司の手、ここでは幸運です）を研究しています。 しかし、すべての研究が秩序によって行われるわけではありません。時々、魂のために何かをするだけです（私たちの会社は一般的に奨励しています）。 この研究は、暗号化についての会話から始まり、DLPをバイパスして制御された境界を越えてデータを移動することで終わりました。



私はDLPシステムが本当に嫌いです。 私の嫌いなものは、製品のマーケティング戦略に基づいており、そのソリューションを一種の「銀の弾丸」の形で表しています。これにより、あらゆる企業のすべてのデータ漏洩を防ぐことができます。 できません。 私の意見では、DLPは2つのケースで本当に役立ちます-曲がった手によるデータ漏洩を防止するため（ali@domain.mailの代わりにall@domain.mailに支払いデータを送信するなど）、データを誰が運んだかを調査するのに役立ちます） たとえば、Windowsの十分な知識を持つ専門家が、ほとんどすべてのフィルターを克服できると当初確信していました。 やる気のあるインサイダーは、そのような専門家を見つけて、いくつかのトリックを学ぶことができます。 しかし、特定の複合体でさまざまなトリックをテストするのは非常に退屈なので、それらを一度に回避する方法を理解する必要がありました。











暗号解読の考え方は私の近くにあり、暗号が大好きです。 インターネットの外でさえ、私たちはそれが使用する非常に多くのものに囲まれています-通常のパスや輸送チケットから、私たちが支払うプラスチックカードまで。 電子署名、自動検証、署名の便利なエクスポート、外部チェック用の公開鍵を表示するための別のフィールド-これが便利であれば、ソーシャルネットワークとインスタントメッセンジャーでメッセージに署名できれば幸いです。 私は幻想を抱いていない-そのような変化は決して大きくないだろう。 自分で始めなければなりません。 何らかの形で、セキュリティの疑わしい気持ちのために自分自身により多くの問題をもたらす方法についてのこの夢の曲線は、面白い考えに至りました- カタパルトがキーボードに暗号化を埋め込むとしたら？



キーボードにいくつかの追加ボタンを追加できると考えられていました。 たとえば、1つは、公開キー、またはすぐに証明書を「印刷」するためにキーボードを起動します。 別の方法では、キーボードを暗号化モードにします。印刷されたテキストはコンピューターに送信されず、最初に暗号化され、暗号化されたテキストは「画面に印刷されます」。

近い将来に実行されるパスに熊手を投げることに対する私の大きな愛を考慮しても、そのようなキーボードの実行可能性を理解しました。 この認識は、そのようなキーボード用の独自の画面が必要になった直後に発生しました。それがないと、暗号化する前にテキストを見て編集することもできません。

さらに、質問が思い浮かびました： コンピューターはどのようにしてそのような「キーボード」に情報を送信できますか？ この問題の解決策は、キーと証明書を入力するために必要です。



多くのオプションがあります：

• フラッシュドライブ用キーボードの外部USB。
• キーボードがキーボードとしてだけでなく、たとえば大容量記憶装置としても認識される特別なモード。
• 特別なキーの組み合わせを入力するユーザーへの指示（はい、ユーザーにbase64で証明書を印刷させてください、私は気にしません）および他の多くの方法。

楽しいオプションの1つは、点滅するLED（インジケータnumロック、capsロック、スクロールロック）を使用することです。 キーボードのLEDの状態を監視し、特定のLEDを点灯するように指示するのはコンピューターです。 このチャネルを使用して、独自の目的で情報を送信できます。 これについては後で説明します。



この段階で、私はもはや暗号キーボードの作成に興味がないことに気付きました。 反対に、DLPシステムに攻撃を実装することは非常に興味深いです。 さようなら、暗号化キーボード、こんにちは、情報抽出デバイス。

壊れていないものを修復する

LEDの点滅を通じてコン​​ピューターから情報を転送することは新しいアイデアではありません。 最も早いソースを指摘するのに途方に暮れています。 たとえば、文字通りそのような方法は、1999年にNept StevensonのCryptonomiconで不滅になりました。 2012年10月29日からリンクに技術的な投稿があります。 それにもかかわらず、芸術的な記述が十分に正確ではなかったため、私は自分の工芸品を発明する道を歩み、既製のプロトタイプを作成するよりもずっと後に、私のようなアイデアについてのリンクを見つけました。



タスクは明確で、2つの部分で構成されています。 簡単な部分は、点滅するキーボードLEDの形で特定のファイルを表示するプログラムを作成することです。 難しい部分は、キーボードとして表示され、プログラムからの「メッセージ」をキャッチする何かをすることです。



私はプログラムをそれほど複雑にしないこと、そして最初に最も簡単なコーディング方法を作ることに決めました。 NumロックとCaps Lockエンコード2ビット（LEDオン-1、オフ-0）、スクロールロックは保存マーカーとして機能し、各バイトは2ビットの4つのグループに分割されました。 Scroll Lockが押されたというデータを受信した将来の受信機は、次の2ビットを保存することが理解されました。



それは受信者次第でした。 その後、Malinkaクローンの1つ、つまりnano pi m1が助けになりました。 私は事前にそれを注文しました-ただ遊んでみてください、それはちょうどアプリケーションが見つかったので、ちょうど一致しました。









OSとして、私はArmbianを使用しました。これはハードウェア上で非常にうまく機能しました。 プロジェクト自体は、画像を組み立てるためのかなりシンプルで便利なスクリプトを提供します。 USBガジェットがどのように機能するかを分析し、OSに付属するHIDキーボードガジェットをテストするのに数日費やしました。 マナだけで滑らかでした。 m1はそれ自体をキーボードとして導入し、ボタンの押下を正しくエミュレートしました。 しかし、LEDのステータスの読み取りは機能しませんでした。 HIDパケットが到着しましたが、誤ったデータが含まれていました。 通常のコンピューターの横にあるUSBスニッファーは、パケットが正しく飛び出していることを示しましたが、鉄片でそれらで起こっていたことは、すでに理解できませんでした。 usb関連のドライバーをデバッグしようとして1週間ほど費やしましたが、役に立ちませんでした。 おそらく、通常のラズベリーパイを飲むと、すぐにすべてが起動します。 または、おそらくアルビアンでは、すべてが松葉杖ですでにバックアップされており、現在動作しています。 実験から約1年半が経過しており、現在のバージョンではチェックを行っていないことを明確にします。



鉄、ヘッド、OSのソースを壊さなくなった主な理由は、問題の解決策を見つけたからです。 Habré- Pastildaで見つかったのは面白いです。 私の考えがハードウェアパスワードマネージャーの考えと非常に交差しているのは二重に面白いです。 確かに、そのようなマネージャーは、暗号化キーボードの元のアイデアと同じ程度に存在しない運命にあると信じています。 まあ、それは問題ではありません...連中はボードを集めてファームウェアを書きました。 必要な作業の90％はすでに完了しています。









パスティルダを取得する試みはすぐには成功しませんでした。 サードピンのディレクターは、1枚のボードだけが必要だと言った直後に私に興味を失いました。 そして、私はこれを彼のせいにすることはできません-作品の生産は非常に高価であり、私は少なくともプロトタイプを望んでいました。 いずれにしても、私はまだ鉄片を手に入れました。



私はデバイス用のファームウェアの作成を扱ったことがなく、遠くからしか見ていません。 しかし、最初から書く必要はありませんでした-ファームウェアコードはgithubにありました。 同僚が私にそれを組み立てて鉄片に入れる方法を教えてくれました（＃私はプログラマーですが、さらに正確になります：「プログラマーでなくなって、2倍のプログラミングを始めた方法」）。 残りは簡単でした-HIDパケットの処理を担当するコードを見つけ、内部メモリに書き込むためのビットシーケンスアセンブリを作成しました。









そして、基本的な操作性の検証の待望の瞬間です！ 非常に長いバイトシーケンスをLEDで正しく「点滅」させることができました。 機能チェック中に、いくつかのDLPとSZIのチェックでは、私の行動に興味深いものは見られず、境界データが静かにリリースされました。 この段階で、私はこの攻撃をRadianceと呼ぶことにしました。これを英語では「radiance」、「luminosity」と呼びます。

関係のない人の表彰

成功した試験からの幸福感が過ぎたら、統計測定を行う時が来ました。



私のソリューションの速度と信頼性はかなり平凡だったので、ここで私はすでに動揺していました。 4秒で5バイト、つまり 1.25 bps









とても遅いです。 何よりも優れていますが、この方法で取り出せるのはドキュメントなどの小さなファイルのみです。 LEDを点滅させ、写真機器でこれらの点滅を撮影して、速度が毎秒1000ビットを超えることができると主張している研究者を思い出してください。 アナログ変換なしでも（「LEDを点滅させる」と常に言いますが、実際に処理されるのはデジタルデータのみです）、理論的に速度を毎秒10バイト以上に上げる方法は見当たりません。 さらに、LEDの点滅間隔を短くするほど、受信するコーディングエラーが多くなります。オペレーティングシステムの制限が機能し、「点滅」の一部が失われた可能性があります。次にオプション。 これは驚くことではありませんが、それでも不快です。 その結果、私はそれらの同じ5バイトのレベルで遅延を残してこれに落ち着くことに決めました-1時間続く実験はこの速度でエラーがなかったことを示しました。



しかし、信号間の休止を修正しても、スピードを求めて戦うわけではありません。









私が見た減速要因の1つは、2ビットでも送信するにはいくつかのコマンドが必要であるという事実でした。 2つの単一ビットを送信する必要があり、すべてのLEDが最初はオフになっていると想像してください。 私のコーディングシステムでは、それらを送信するには、3つのキーボードLEDをすべて点灯させる必要があります。 LEDを点灯する機能を呼び出して、キーボードのボタンを押すことをエミュレートするのに3回かかりました。 一度にすべてのLEDのステータスをすぐに送信できる場合、大幅な時間の節約になります。 さらに、HIDパケットのステータスは3つのLEDではなく、最大5つです。実際、最大10バイト/秒の速度の増加が見られました。中間LEDがなく、1つのパッケージで5ビットが転送されます。



しかし、私はこの最適化をチェックすることができませんでした。 私はさらに強力なものを思いついたからです！ 将来を見据えて、コーディングエラーなしで速度が毎秒600バイトに達したと自負しています。 HIDパケットを送信することで、すべてのLEDのステータスを実際にプログラムで設定できることがわかりました。 独自の形式のHIDパケットを送信してみませんか？ 実際、すべてがそれほど単純ではありません。



そのようなものがあります-「レポート記述子」。 これは、デバイスの初期化中にキーボードによって送信される特別な構造です。 キーボードとコンピューターの通信形式の説明を示します。 一般的なケースでは、6バイトのパケットがキーボードからコンピューターに送られ、3ビットが固定された各1バイトのパケットを受信することを示しています。 記述子で提供されていないパケットを送信して宇宙のバランスを崩さないようにするため、記述子に時々32バイトのパケットがキーボードに到着するという指示を追加しました。 まあ、彼はそれらを送り始めました。 これは、上記の600バイト/秒を達成するのに十分でした。 潜在的に、DLPシステムはHID記述子が変更されたことを確認し、攻撃を検出できましたが、主要なusb記述子には触れませんでした-すべてのシステムの観点から、キーボードは同じでした-シリアル番号と他の識別子は同じままでした。



新しいアプローチは、速度だけでなく安定性にも満足しています：コーディングエラーがなく、データ転送中でも静かにキーボードを使用することができました（以前の方法でも可能ですが、これには特殊効果が伴いました）。









それから、2016年のZeronightsの時が来ました（そう、私はこの記事を1年半書くのが面倒でした）ので、デバイスを使いたいすべての人にデモを行いました。









一部のDLPの代表者はそこで彼女を見て、保護を追加することを約束しているようにさえ見えました。 確認する必要がある場合があります。



結論として、私はこのデバイスの開発についてもう少し言葉を追加したいと思いますが、それはしません（もちろん、1年半は過ぎません-すでにやりました）。 ベスレヘム、Bluetooth、さらには3Gモデムなど、信号伝送用の鉄にワイヤレスの何かを取り付けることができます。 これにより、情報の転送が大幅に簡素化されます。



別の改善点は完全に特殊なプレーンにあります-しかし、このような攻撃を行うために別のデバイスは必要ないと言ったらどうでしょうか？ ラズベリーもパスティルダもありません。 私たちはそれぞれ携帯電話を持っています。 一部の人にとっては、これはAndroidフォンですらあります。 ちなみに、これはLinux OSの短期的な相対的なものです。 さらに言うと、nano pi m1をAndroidで（もちろんルート上で）使った私の実験を思い出して、キーボードで表示されるカーネルモジュールをインストールすることが可能です。 同様のモジュールは、携帯電話向けのカリバージョンに含まれているため、すべてが本物です。 今では攻撃はほとんど無料であり、それを改善する方法はまだ想像できません。

ナイトホラー

私はこの記事の主要なトピックから脱出し、陰謀論とパラノイアで少しヒットしたいと思います。 非常に簡単な質問をしてみましょう-コンピューターの電源を入れた後、最初にキーボードで何を入力しますか？ 誰かが時折UEFI設定BIOSに入り、誰かがリストからオペレーティングシステムを選択する必要がありますが、それでも、ほとんどのユーザーは資格情報を入力してOSに入ります。 しかし、キーボードメーカーがファームウェアにコードを追加し、ファームウェアにユーザー統計を追加した場合はどうなりますか？ そのようなキーボードは、OSをロードし、ユーザーとしてログインする方法に関するデータを簡単に受信します。 キーボードのキーストロークにより、OSについて重要な仮定を立てることができます。 比較的言えば、ctrl + alt + f1のようなキーストロークと、頻繁なCaps Lockクリック（ oh、irony ）はLinuxで一般的で、win + m、win + dはすでにWindowsです。



コンピューターの電源は入っているがキーボードが使用されていない時間を分析することにより、デバイスはコンピューターが無人の状態にあることを推測できます。 この知識と一緒に、すべてがすでに攻撃に対して準備されています-コンピューターは無人で、ロックされている場合はロックを解除します-資格情報が既知で、OSが既知です-システムで修正するために適切なペイロードを選択できます。 そして、攻撃に気付いたとしても、キーボードが非難される可能性は低く、すべてが「ウイルス」に起因する可能性が高くなります。 ほぼ完璧な攻撃。



上記は完全に理論的な製作のように見えます。 しかし、そのような練習の前にどれくらいの時間が残っていますか？

その他のブログ記事

→ UACバイパスまたは3つのエスカレーションのストーリー

UAC要求をバイパスするWindowsセキュリティメカニズムの調査。



→ SDLのない生活。 冬2017

開発者がどこでもSDLを使用しない限り、私は常に仕事をします。