web-dev-qa-db-ja.com

マルウェアを特定のキーボードまで追跡できますか?

A CNNの記事 最近の米国選挙のハッキングに関する主張は、

...管理者は、マルウェアコードの構築に使用された特定のキーボード(キリル文字を特徴とする)へのハッキングを追跡し、機器が「デジタル指紋」を残し、最近のハッキングの場合は、版画はロシア政府を指しています。

私にとっては、それは完全なバロニーのように聞こえます。文字をトレースしますが、実行可能コードで特定のキーボードに戻る可能性がありますか?そして、あなたはそれが物理的に1つの特定の場所にある1つの特定のモデルであることを知るつもりですか?

これはナンセンスですか、または私がここで見逃しているものはありますか?この情報の出所が何であれ、なりすましを行うことも簡単ではないでしょうか。

キーボードはタイプライターではありません。キーボードは scancodes を生成し、ソフトウェアによって解釈され、レイアウトに応じてマッピングされます。キーを押すと画面に文字が表示されますが、それはそれぞれの文字セットの文字値にすぎません。キーボードは、追跡できる「デジタル指紋」を残しません。

代わりに、作者はおそらく、ソースコードにキリル文字を含む文字列または識別子を見つけたと言うつもりでした。しかし、そのような痕跡は簡単に偽造でき、「確固たる証拠」としては数えられません。メタデータさえも植えられたかもしれません。

同様のケースは次のとおりです。 Operation Aurora サイバー攻撃の後、アナリストは攻撃が中国から引き起こされたと結論付けた「中国のソースコード」を発見したと主張しました。

セキュリティ会社であるHBGaryは最近、コード開発者の特定に役立つ可能性のあるいくつかの重要なマーカーを発見したと主張するレポートをリリースしました。同社はまた、コードは中国語ベースであると述べたが、政府機関と明確に結び付けることはできなかった。

ここでは、研究者が中国の論文でのみリリースされた参照実装までコードの一部をたどることができるため、ケースは実際にはキリル文字キーボードの証拠よりも強力でした。

おそらく、このソースコードサンプルの最も興味深い側面は、マイクロコントローラーで使用するためのCRCアルゴリズムの最適化に関する中国語の論文の一部としてリリースされた中国出身のサンプルであることです。 [...]このCRC-16の実装は中国以外ではほとんど知られていないようです

(ソース)

64
Arminius

すでに述べたように、キーボードを追跡することは非常に不可能です。理論的には、オペレーティングシステムに転送されるID番号をキーボードに含めることは可能です(以前のiTunesが私のiPodの色を知っていたように)、その情報をソースコード、インターネットプロトコルなどに追加して、ハッキングされたシステムから追跡可能であることは確かに現実ではありません。それ以外の場合は、コードまたはプロトコルメッセージをデバッグしている人たちによるレポートをすでに目にしました。

私は最初に特定の文字エンコーディングについて考えましたが、それはまだ当てはまる可能性があります。たとえば、ISO 8859(「ラテン語」)標準にはいくつかの部分があります。スクリプトなどの実行に必要な文字を含め、多くの文字はすべての部分で同じエンコーディングを持っています。次に、8859セットに余分な文字があると、手掛かりが得られる可能性があります。たとえば、パート5(ISO 8859-5キリル文字)エンコーディングを使用して文字を解釈する場合、追加の文字が意味をなす場合があります。

とにかく、情報が手元にあれば、これはすべて推測にすぎません。また、キーボードまでたどることができるという印象を与えるのは、意図的にあいまいな場合もあります。

5
user134702