CTRL-ALT-LED, el ataque que permite hackear sistemas “air-gapped”

Acorde a especialistas en seguridad en redes, las luces LED en las teclas Caps Lock, Num Lock y Scroll Lock de un teclado pueden ser usados para extraer datos de un sistema asegurado con la tecnología conocida como “Air Gap”, una medida de seguridad empleada para aislar físicamente una red de cómputo de otras redes inseguras, como conexiones WiFi públicas o LAN no seguras.

El ataque, bautizado como “CTRL-ALT -LED”, no afecta a los usuarios de equipos de cómputo regulares, sino que se enfoca en comprometer los entornos con más medidas de seguridad (redes de cómputo del gobierno, por ejemplo) donde se almacena información confidencial, muy atractiva para los actores de amenazas.   

Los expertos en seguridad en redes señalan que para concretar el ataque es necesario que existan previamente algunas condiciones, por ejemplo, el hacker debe encontrar una firma de infectar un sistema protegido con air gap con una variante de malware; “El ataque CTRL-ALT-LED es sólo el método de extracción de datos”, agregan.

Si estas condiciones previas se cumplen, el malware usado por el atacante puede hacer que las luces LED de un teclado USD comiencen a parpadear rápidamente siguiendo un patrón determinado, usando un protocolo de transmisión y un esquema de modulación para codificar los datos. Los hackers, desde una ubicación cercana, pueden registrar el patrón de las luces LED y decodificarlo usando el mismo esquema de modulación para codificarlo.

Los expertos en seguridad en redes afirman haber probado esta técnica de robo de datos usando diferentes dispositivos con capacidades de captura óptica, como cámaras de smartphones y smartwatches, cámaras de vigilancia y sensores ópticos.   

Las transmisiones LED de teclado también se pueden programar en ciertos intervalos del día cuando los usuarios no están presentes. Esto también hace que sea más fácil para los atacantes sincronizar grabaciones o colocar grabadoras ópticas o cámaras cerca de objetivos con espacios de aire solo en el momento en que sepan que los LED transmitirán información robada.

Especialistas del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que, en la mayoría de los casos, la extracción de información por este método requiere que se presente un escenario conocido como “evil maid”; en el que el atacante debe estar físicamente presente para registrar las pulsaciones LED mediante cualquier dispositivo.

(Visited 302,1 times)