Оценка возможности интеграции кейлоггера в KVM-переключатель Belkin OmniView


Исследователи безопасности из компании Cisco оценили возможность внедрения кейлоггера в KVM-коммутаторы, обеспечивающие подключение нескольких компьютеров к одной клавиатуре, мыши и монитору. На примере двухпортового устройства Belkin E Series OmniView проведён эксперимент, в результате которого удалось подготовить работающий прототип системы, перехватывающей и сохраняющей информацию о нажатых клавишах. Эксперимент призван показать, что для блокирования утечки данных в организациях недостаточно защиты сетевой инфраструктуры и устранения уязвимостей в программном обеспечении, из виду также не следует упускать периферийные устройства, безобидные на первый взгляд.

Кейлоггер реализован на базе обычной платы Arduino Uno, которая была подключена к четырём выводам микроконтроллера PIC16C57C, применяемого в KVM-переключателе. На Arduino Uno было запущено специально подготовленное приложение, использующее свободную библиотеку "PS2Keyboard" для определения нажатых клавиш с учётом перехваченных прерываний, декодирования скан-кодов и записи в буфер.


Для извлечения накопившихся данных реализован обработчик, который активируется специально заданной последовательностью и выводит содержимое буфера, симулируя нажатия на клавиатуре. Забор данных от кейлоггера выглядит следующим образом: атакующий подключает к KVM свой ноутбук с открытым текстовым редактором, нажимает на клавиатуре определённую последовательность клавиш и получает накопившиеся данные, которые через KVM передаются в виде симуляции нажатий на клавиатуре.