Хотя подавляющее большинство веб-камер оборудовано светодиодом, сигнализирующем о ее включении, на некоторых компьютерах, в том числе и MacBook, хакер может отключить его для скрытого видеонаблюдения. Действительно надежный способ предотвращения «подглядывания» через веб-камеру – физическое отключение устройства от компьютера, но такая возможность доступна только владельцам отдельных камер. Владельцы ноутбуков, планшетных компьютеров и мониторов со встроенными веб-камерами могут отключить камеру в диспетчере устройств либо контролировать приложения, у которых есть доступ к камере, с помощью системных настроек и/или защитного программного обеспечения, такого как антивирусные программы. Пользователи все чаще заклеивают веб-камеры или закрывают их специальными шторками, чтобы избавиться от слежки. Но прослушивание через встроенный микрофон предотвратить трудно. Как и веб-камера, микрофон обычно встроен в ноутбук и управляется отдельно от самой камеры. (В стационарных компьютерах и мониторах, не оборудованных встроенными веб-камерами, микрофонов нет.) Антивирусное программное обеспечение блокирует несанкционированный доступ к камерам некоторых производителей (но не всех), однако никак не мешает злоумышленнику включить микрофон.
КЕЙС Помимо экс-главы ФБР Джеймса Коми, упомянутого в эпиграфе к этой главе, «паранойей преследования» страдает и глава Facebook Марк Цукерберг. На некоторых видеороликах и фотографиях, демонстрирующих его рабочее место, видно, что на ноутбуке Цукерберга заклеены микрофон и веб-камера
[765].
Кроме того, веб-сервисы, поддерживающие общение посредством веб-камер, могут содержать скрипты, запускающие фоновое окно с разрешениями на доступ к микрофону. Даже если пользователь закрывает основное окно веб-сервиса, то фоновое остается запущенным, позволяя собеседнику или злоумышленнику продолжать слышать происходящее около компьютера жертвы
[766].
Дополнительно следует отметить, что пассивные
[767] динамики (в том числе и наушники) могут работать и в обратном направлении, т. е. выполнять роль микрофона. Это может происходить, если колонки/наушники подключены к микрофонному разъему либо если звуковой чип предусматривает программное переназначение разъемов и аудиовыход превращается в аудиовход. В таком случае динамики или наушники позволяют фиксировать звуки на расстоянии до нескольких метров, а дополнительное вредоносное программное обеспечение может передавать записи на удаленный сервер
[768].
Взлом устройств ввода
Злоумышленники могут перехватывать данные, вводимые с беспроводной клавиатуры, а также дистанционно (с расстояния до 1 км) управлять беспроводными клавиатурами и мышами, набирая текст и щелкая по различным кнопкам и ссылкам. Таким образом злоумышленники крадут данные или загружают на устройство вредоносный код и с целью фишинга открывают в браузере поддельные страницы. Данные, передаваемые с клавиатуры, часто шифруются (не во всех моделях), а с компьютерных мышей – нет, и злоумышленник с помощью последних может эмулировать ввод с клавиатуры. Кроме того, ряд трансиверов (маленьких устройств, подключаемых к USB-порту для работы клавиатуры/мыши) поддерживают подключение нескольких устройств одновременно, поэтому хакер может подключить собственное устройство.
В ходе такой атаки злоумышленник может перехватывать любые вводимые пользователем данные, даже когда они зашифрованы (если преступнику известны криптографические алгоритмы, используемые во взламываемой модели). Передавая свои команды, злоумышленник может скопировать и передать на удаленный сервер пользовательские данные, удалить их с компьютера и т. п.
Если компьютерная система используется на критически важных объектах или в системе безопасности предприятия, даже просто вывод клавиатуры/мыши из строя может привести к катастрофическому ущербу
[769].
Взлом изолированных систем
В некоторых случаях, охотясь за особенно ценной информацией, хранящейся на компьютерах, хакеры пытаются получить доступ и к системам, изолированным от интернета, подключенным к интранет-сетям или вовсе не имеющим сетевого подключения. При этом злоумышленник может похитить данные и без проникновения в охраняемый периметр и физического доступа к машине с ценной информацией. Известны способы извлечения данных с таких компьютеров с помощью других девайсов, например смартфонов, используемых в том же помещении. Для атаки необходимо связать компьютер и смартфон с помощью вредоносных приложений, одно из которых (на компьютере) будет передавать данные, а другое (на мобильном устройстве) – принимать. Основная трудность такой атаки заключается в инфицировании обоих устройств: не только смартфона, выносимого за пределы охраняемой территории, но и компьютера, непрерывно находящегося в защищенном периметре.
Специалисты по ИБ из Исследовательского центра кибербезопасности Университета имени Бен-Гуриона в Негеве (Израиль) представили несколько разработок, позволяющих извлекать данные из изолированных систем.
Одна из них – приложение GSMem, результаты работы которого записываются по определенным адресам в оперативной памяти, а затем передаются в виде электромагнитных сигналов на приемник, которым может служить простейший мобильный телефон, в том числе не подключенный к сотовой сети/интернету. Таким образом можно извлечь короткие фрагменты данных, например пароли и ключи шифрования
[770].
В другом случае в качестве передающей стороны может использоваться HDD зараженного компьютера. Разработанное исследователями вредоносное приложение DiskFiltration манипулирует позиционером диска, заставляя его двигаться определенным образом и издавать звуки в определенном порядке, передавая бинарные данные, которые фиксируются устройством, способным записывать звук, например смартфоном или «умными» часами
[771].
Приложение Fansmitter позволяет передавать данные посредством звуков, издаваемых компонентами компьютера, только в данном случае передатчиком выступает кулер, установленный на процессоре, видеокарте или в корпусе. Если предыдущая атака – DiskFiltration невозможна на компьютерах, не оборудованных HDD (по причине использования, к примеру, SSD-накопителей), то кулеры, по крайней мере для охлаждения процессора, устанавливаются почти во все компьютеры. Изменяя скорость вращения вентилятора, приложение Fansmitter позволяет передавать данные в виде единиц и нулей с целью кражи паролей и прочей важной информации с изолированных машин
[772].
