Puoi rintracciare il malware su una tastiera specifica?

58

Un articolo della CNN sulle recenti rivendicazioni di hacker delle elezioni americane che

...the administration has traced the hack to the specific keyboards -- which featured Cyrillic characters -- that were used to construct the malware code, adding that the equipment leaves "digital fingerprints" and, in the case of the recent hacks, those prints point to the Russian government.

Ora per me sembra un totale baloney. Tracciare un personaggio, che può essere in qualche codice eseguibile su una tastiera specifica? E saprai che il suo particolare modello è fisicamente in una particolare posizione?

È un'assurdità o c'è qualcosa che mi manca qui? Non sarebbe banale anche spoofare qual è la fonte di queste informazioni?

    
posta David Grinberg 03.01.2017 - 19:04
fonte

2 risposte

64

Una tastiera non è una macchina da scrivere. Le tastiere producono scancodes che sono interpretati dal software e mappati a seconda del layout. Quando una pressione di un tasto produce una lettera sullo schermo, non è altro che il valore del carattere nel relativo set di caratteri - le tastiere non lasciano "impronte digitali" che potrebbero essere rintracciate.

Invece, l'autore probabilmente intendeva dire che hanno trovato stringhe o identificatori con lettere cirilliche nel codice sorgente. Ma tali tracce sono facili da falsificare e non contano come "prove concrete"; anche i metadati potrebbero essere stati piantati.

Ecco un caso simile: dopo gli attacchi informatici Operazione Aurora , gli analisti hanno affermato di aver trovato "codice sorgente cinese" da che hanno concluso che l'attacco è stato condotto dalla Cina:

HBGary, a security firm, recently released a report in which they claim to have found some significant markers that might help identify the code developer. The firm also said that the code was Chinese language based but could not be specifically tied to any government entity.

In questo caso, il caso era in realtà più strong delle prove con la tastiera cirillica in quanto i ricercatori potevano risalire a parti del codice per un'implementazione di riferimento rilasciata solo in un documento cinese:

Perhaps the most interesting aspect of this source code sample is that it is of Chinese origin, released as part of a Chinese-language paper on optimizing CRC algorithms for use in microcontrollers. [...] This CRC-16 implementation seems to be virtually unknown outside of China

(Origine)

    
risposta data 03.01.2017 - 19:23
fonte
5

Come già detto, è abbastanza impossibile tenere traccia delle tastiere. In teoria è possibile che le tastiere contengano un numero ID che viene trasferito al sistema operativo (molto simile al modo in cui itunes in passato sapeva di che colore era il mio ipod), ma aggiungendo tali informazioni al codice sorgente, ai protocolli Internet o simili in modo tale che sia rintracciabile dal sistema hackerato, non è certamente la realtà. Altrimenti ne avevamo già visto rapporti da parte di coloro che eseguivano il debug dei loro messaggi di codice o protocollo.

Ho inizialmente pensato a codifiche di caratteri specifiche e potrebbe ancora essere il caso. Ad esempio ci sono diverse parti nello standard ISO 8859 ("latin"). Molti caratteri hanno la stessa codifica in tutte le parti, compresi quelli necessari per gli script e simili da eseguire. Quindi qualsiasi personaggio in più nel set 8859 potrebbe darci qualche indizio. Ad esempio, potrebbe essere che interpretando i personaggi usando la codifica 5 (ISO 8859-5 in caratteri cirillici), i personaggi in più abbiano un senso.

In ogni caso, con le informazioni a portata di mano questo è tutto solo a indovinare. Potrebbe anche essere deliberatamente vago dare l'impressione che anche le tue tastiere possano essere rintracciate.

    
risposta data 04.01.2017 - 10:46
fonte

Leggi altre domande sui tag