Screen Crab

Screen Crab – postrach sal konferencyjnych

Dotychczas w cyklu Arsenał (Ethical) Hackera opisywaliśmy urządzenia z kategorii BadUSB oraz implantów sieciowych. Dziś zajmiemy się również implantem (czyli urządzeniem wymagającym fizycznego zainstalowania w środowisku ofiary) jednak o tyle ciekawym, że zamiast ruchu sieciowego przechwytującym sygnał wideo.

Screen Crab to niewielkie urządzenie posiadające dwa porty HDMI – wejściowy i wyjściowy, port zasilania USB C oraz slot karty pamięci MicroSD. Urządzenie to umieszczone pomiędzy źródłem, a odbiornikiem sygnału HDMI (np. pomiędzy komputerem a monitorem lub komputerem a projektorem w sali konferencyjnej) pozwala w sposób niezauważony, zdalnie przechwytywać obraz.

Screen Crab jest niewielkich rozmiarów, więc łatwo go ukryć np. za monitorem lub projektorem, a w sali konferencyjnej umieszczony pod sufitem na pewno nie zwróci niczyjej uwagi. Poniżej kilka obrazów prezentujących możliwość jego instalacji ze strony producenta (Hak5):

Jak widać rozmiarem przypomina on niewielki zasilacz, co nie powinno wzbudzić podejrzeń jeśli znajdzie się w otoczeniu urządzenia takiego jak monitor, telewizor czy projektor.

Komunikacja ze Screen Crabem

Domyślna konfiguracja Screen Craba powoduje przechwycenie co 10 sekund jednej klatki podglądanego obrazu i jej zapis na karcie MicroSD w formie pliku JPG. Jak jednak pewnie zauważyliście na zdjęciach, urządzenie posiada też niewielką antenę, która pozwala na komunikację z siecią bezprzewodową.

Konfiguracja urządzenia odbywa się przez zapis na karcie MicroSD pliku config.txt mogącego zawierać następujące ustawienia:

LED [ON | OFF]
​
CAPTURE_MODE [IMAGE | VIDEO | OFF] (LED indication: Image=Blue, Video=Yellow, Off=Off)
​
DEDUPLICATE [ON | OFF]  (Only for IMAGE CAPTURE_MODE)
​
CAPTURE_INTERVAL [N] (in N seconds)
​
STORAGE [ROTATE | FILL]
​
BUTTON [EJECT | OFF]
​
VIDEO_BITRATE [LOW | MEDIUM | HIGH]

WIFI_SSID This\ is\ my\ network

WIFI_PASS The\ P\@\$\$word\ is\ 1337\!\!

W przypadku konfiguracji z siecią bezprzewodową producent zaleca pozostawienie w pliku konfiguracyjnym tylko ostatnich dwóch zmiennych (nazwa sieci i hasło) i dostosowanie pozostałych ustawień już za pomocą interfejsu webowego systemu Cloud C2 od Hak5 (opiszę go bliżej w kolejnym artykule). Trzeba jeszcze zwrócić uwagę na konieczność poprzedzenia backslashem każdej spacji i znaku specjalnego w nazwie sieci oraz haśle.

Przechwytywanie obrazu

W przypadku gdy skonfigurowaliśmy Screen Craba do komunikacji z systemem Cloud C2 obraz zapisywany w formie plików graficznych lub wideo możemy podglądać na żywo z użyciem interfejsu przeglądarki. Charakteryzuje się on pewnym przekłamaniem barw. Przypomina trochę stare monitory bursztynowe, ale nie utrudnia to specjalnie zapoznania się z zawartością przechwytywanego ekranu. Poniżej fragment interfejsu webowego z widocznym u dołu ekranu podglądem szpiegowanego pulpitu:

Fragment obrazu przechwycony za pomocą Screen Craba
Fragment obrazu przechwycony za pomocą Screen Craba

Podsumowanie

Screen Crab na stronie producenta kosztuje 199$. Nie jest to raczej kwota, która stanowiłaby jakąś barierę dla intruza chcącego wykraść z naszej firmy poufne dane.

Jak się można przed nim bronić? Dokonywanie inspekcji instalacji wideo za każdym razem gdy chcemy skorzystać z sali konferencyjnej jest raczej mało wygodne. Może zatem warto rozważyć wyznaczenie odrębnych sal do spotkań poufnych (np. dla zarządu). Osoby pojawiające się w firmie w charakterze gości (np. szkoleniowcy, handlowcy) nie będą miały wówczas możliwości zainstalowania takiego urządzenia w miejscu, gdzie prezentowane są poufne dane.

Chcecie wiedzieć przed czym jeszcze warto się zabezpieczyć? Przeczytajcie inne wpisy w cyklu Arsenał (Ethical) Hackera.


Zostaw e-mail aby otrzymać powiadomienia o nowościach oraz dostęp do wszystkich bonusowych materiałów przygotowanych wyłącznie dla subskrybentów.

4 komentarze

    1. Nie przyszło mi do głowy żeby to sprawdzić. Tak na szybko sprawdziłem forum Hak5 i z wpisów wynika, że przechwycenie obrazu chronionego HDCP jest niemożliwe ze względów prawnych, ale Screen Crab poradzi sobie z tym na tyle, że na urządzeniu wyjściowym obraz się pojawi.
      Hmm, czyli dobrym zabezpieczeniem przed Screen Crabem byłoby stosowanie HDCP.

Leave a Reply

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.