Pouvez-vous retracer un malware sur un clavier spécifique?
Un article CNN sur les récentes hacks électoraux américains affirme que
... l'administration a retracé le hack aux claviers spécifiques - qui comportaient des caractères cyrilliques - qui ont été utilisés pour construire le code du malware, ajoutant que l'équipement laisse des "empreintes digitales" et, dans le cas des hacks récents, ceux les tirages indiquent le gouvernement russe.
Maintenant, pour moi, cela ressemble à un baloney total. Vous allez tracer un caractère, qui peut dans certains codes exécutables revenir à un clavier spécifique? Et vous allez savoir que c'est un modèle particulier qui se trouve physiquement à un endroit particulier?
Est-ce un non-sens ou y a-t-il quelque chose qui me manque ici? Ne serait-il pas aussi banal d'usurper quelle que soit la source de cette information?
Un clavier n'est pas une machine à écrire. Les claviers produisent scancodes qui sont interprétés par le logiciel et mappés en fonction de votre disposition. Quand une pression sur une touche produit une lettre sur votre écran, ce n'est rien de plus que la valeur du caractère dans son jeu de caractères respectif - les claviers ne laissent pas des "empreintes digitales" qui pourraient être retracées.
Au lieu de cela, l'auteur voulait probablement dire qu'ils avaient trouvé des chaînes ou des identificateurs avec des lettres cyrilliques dans le code source. Mais de telles traces sont faciles à truquer et ne compteraient pas comme des "preuves tangibles"; même des métadonnées auraient pu être plantées.
Voici un cas similaire: Après les Opération Aurora cyberattaques, les analystes ont affirmé avoir trouvé un "code source chinois" à partir duquel ils ont conclu que l'attaque était dirigée depuis la Chine:
HBGary, une société de sécurité, a récemment publié un rapport dans lequel elle prétend avoir trouvé des marqueurs importants qui pourraient aider à identifier le développeur de code. La société a également déclaré que le code était basé sur la langue chinoise mais ne pouvait être spécifiquement lié à aucune entité gouvernementale.
Ici, l'affaire était en fait plus solide que les preuves du clavier cyrillique, car les chercheurs pouvaient retracer des parties du code jusqu'à une implémentation de référence qui n'a été publiée que dans un document chinois:
L'aspect le plus intéressant de cet exemple de code source est peut-être qu'il est d'origine chinoise, publié dans le cadre d'un article en chinois sur l'optimisation des algorithmes CRC pour une utilisation dans les microcontrôleurs. [...] Cette implémentation du CRC-16 semble pratiquement inconnue en dehors de la Chine
Comme déjà indiqué, il est tout à fait impossible de suivre les claviers. En théorie, il est possible que les claviers contiennent un numéro d'identification qui est transféré au système d'exploitation (un peu comme la façon dont iTunes dans le passé savait de quelle couleur était mon iPod), mais en ajoutant ces informations au code source, aux protocoles Internet ou autres de sorte qu'il soit traçable à partir du système piraté, n'est certainement pas la réalité. Sinon, nous en avions déjà vu des rapports par ceux qui déboguaient leurs messages de code ou de protocole.
J'ai d'abord pensé à des encodages de caractères spécifiques et cela pourrait toujours être le cas. Par exemple, la norme ISO 8859 ("latin") comprend plusieurs parties. De nombreux caractères ont le même encodage dans toutes les parties, y compris ceux qui sont requis pour les scripts et autres à exécuter. Ensuite, tous les caractères supplémentaires de l'ensemble 8859 pourraient nous donner des indices. Par exemple, il se pourrait que lors de l'interprétation des caractères à l'aide du codage de la partie 5 (ISO 8859-5 cyrillique), les caractères supplémentaires aient un certain sens.
Quoi qu'il en soit, avec les informations à portée de main, tout cela ne fait que deviner. Il peut également être délibérément vague pour donner l'impression que même vos claviers peuvent être tracés.