¿Se puede rastrear malware en un teclado específico?

Navega tus respuestas
58

Un artículo de CNN sobre las recientes reclamaciones de hacks de Elecciones de EE. UU. que

  

... la administración ha rastreado el hack a los teclados específicos, que incluían caracteres cirílicos, que se utilizaron para construir el código de malware, agregando que el equipo deja "huellas digitales" y, en el caso de la reciente Hacks, esas impresiones apuntan al gobierno ruso.

Ahora para mí eso suena como tontería total. ¿Va a rastrear un carácter, que puede en algún código ejecutable volver a un teclado específico? ¿Y vas a saber que es un modelo particular que está físicamente en una ubicación particular?

¿Esto es una tontería o hay algo que me estoy perdiendo aquí? ¿No sería también trivial falsificar la fuente de esta información?

    
pregunta David Grinberg 03.01.2017 - 19:04
fuente

2 respuestas

64

Un teclado no es una máquina de escribir. Los teclados producen scancodes que son interpretados por el software y asignados según su diseño. Cuando una pulsación de tecla produce una letra en su pantalla, no es más que el valor del carácter en su conjunto de caracteres respectivo: los teclados no dejan "huellas digitales" que podrían rastrearse.

En cambio, el autor probablemente quiso decir que encontraron cadenas o identificadores con letras cirílicas en el código fuente. Pero tales rastros son fáciles de falsificar y no contarían como "evidencia sólida"; incluso los metadatos podrían haber sido plantados.

Este es un caso similar: después de los Operación Aurora , los analistas afirmaron que habían encontrado "código fuente chino" en que concluyeron que el ataque fue dirigido desde China:

  

HBGary, una empresa de seguridad, publicó recientemente un informe en el que afirman haber encontrado algunos marcadores significativos que podrían ayudar a identificar al desarrollador del código. La firma también dijo que el código estaba basado en el idioma chino pero no podía vincularse específicamente con ninguna entidad gubernamental.

Aquí, el caso fue en realidad más sólido que la evidencia del teclado cirílico, ya que los investigadores pudieron rastrear partes del código hasta una implementación de referencia que solo se publicó en un periódico chino:

  

Quizás el aspecto más interesante de este ejemplo de código fuente es que es de origen chino, publicado como parte de un documento en idioma chino sobre la optimización de algoritmos CRC para su uso en microcontroladores. [...] Esta implementación de CRC-16 parece ser prácticamente desconocida fuera de China

(Source)

    
respondido por el Arminius 03.01.2017 - 19:23
fuente
5

Como ya se dijo, es bastante imposible rastrear los teclados. En teoría, es posible que los teclados contengan algún número de ID que se transfiera al sistema operativo (como la forma en que iTunes en el pasado sabía de qué color era mi ipod), pero agregando esa información al código fuente, a los protocolos de Internet o similares, para que así sea. rastreable desde el sistema pirateado, ciertamente no es la realidad. De lo contrario, ya habríamos visto informes al respecto por parte de quienes depuraron su código o mensajes de protocolo.

Primero pensé en codificaciones de caracteres específicos y todavía podría ser el caso. Por ejemplo, hay varias partes en el estándar ISO 8859 ("latino"). Muchos caracteres tienen la misma codificación en todas las partes, incluidos aquellos que se requieren para los scripts y otros para ejecutar. Entonces, cualquier carácter adicional al conjunto 8859 podría darnos algunas pistas. Por ejemplo, podría ser que al interpretar los caracteres utilizando la codificación de la parte 5 (cirílico ISO 8859-5), los caracteres adicionales tengan algún sentido.

De todos modos, con la información a la mano, todo esto es simplemente adivinar. También puede ser deliberadamente vago para dar la impresión de que incluso sus teclados se pueden rastrear.

    
respondido por el user134702 04.01.2017 - 10:46
fuente

Lea otras preguntas en las etiquetas

¿Cómo funciona “No Captcha reCaptcha” de Google? ¿Por qué los expertos en seguridad como Snowden utilizan servicios de correo electrónico como Lavabit y Hushmail en lugar de correo electrónico auto hospedado?