Tobias Scheible Cyber Security & IT-Forensik Dozent
HDMi Screenlogger

Heimliche Screenshots per Screenlogger

Auch das Monitorsignal lässt sich mit Hacking Hardware heimlich aufzeichnen. Dazu wird ein Adapter zwischen dem Rechner und dem Monitor angeschlossen: der Screenlogger. Er speichert alle paar Sekunden einen Screenshot des angezeigten Bildes.

Donnerstag, 26. September 2019
0 Kommentare

Screenlogger funktionieren ähnlich wie Keylogger, nur dass keine Tastatureingaben aufgezeichnet werden, sondern Monitorsignale gespeichert werden. Sie werden auch als Frame- oder Videograbber bezeichnet. Diese Geräte sind typischerweise in Form eines Verlängerungskabels mit einem größeren Stecker aufgebaut.

Bei diesem Angriffsszenario muss der Angreifer allerdings wieder physisch vor Ort sein. Wird ein derartiger Adapter versteckt unter dem Tisch angebracht und später wieder abgeholt, kann somit unbemerkt die Monitorausgabe ausspioniert werden.

Beispielgerät

Das am häufigsten verkaufte Produkt heißt VideoGhost. Da für jede Anschlussart ein eigener Adapter benötigt wird, ist er jeweils für VGA, DVI und HDMI verfügbar. Es handelt sich bei VideoGhost um ein Hardwaregerät, das Screenshots aufzeichnet und als Bilddateien auf dem internen Speicher speichert. Die Stromversorgung erfolgt über einen zusätzlichen USB-Anschluss, der direkt an den Rechner angeschlossen werden kann. Die integrierte Batterie ermöglicht Datums- und Zeitstempel. Die Elektronik befindet sich im größeren Ende mit der Buchse.

Bildschirm heimlich aufzeichnen
HDMI Screenlogger von VideoGhost
HDMI-Kabel mit Screenshot Funktion HDMI Screenlogger bzw. Screengrabber von VideoGhost
Funktionsweise

In diesem Beispiel hier wird die Variante mit einem HDMI-Stecker verwendet. Das vorhandene HDMI-Kabel wird ausgesteckt und dafür der VideoGhost Adapter eingesteckt. Zusätzlich wird das USB-Kabel am Rechner für die Stromversorgung angeschlossen. Auf der anderen Seite wird das bisherige HDMI-Kabel in die HDMI-Buchse gesteckt. Wird nun der Rechner angeschaltet, wird alle zehn Sekunden ein Screenshot erzeugt und auf dem integrierten Speicher des Screenloggers gespeichert.

Zugriff

Um die Aufnahmen anzusehen, muss am größeren Ende mit der HDMI-Buchse der kleine blaue Taster kurz gedrückt werden. Daraufhin wird die Übertragung des HDMI-Signals beendet und der VideoGhost Adapter verhält sich über den USB-Anschluss wie ein USB-Speicherstick. Der Video-Logger erscheint als Wechsellaufwerk mit aufgenommenen Screenshots als JPG-Dateien. Dort ist auch die Konfigurationsdatei zu finden, über diese kann das Zeitintervall für die Screenshots konfiguriert werden.

WiFi Variante

Screen Crab

Eine weitere Variante eines Screenloggers ist der HDMI Screen Crab des Anbieters Hak5. Er hat eine ähnliche Funktionsweise wie der VideoGhost Adapter, verfügt allerdings als Speicher über eine MicroSD-Speicherkarte und eine zusätzliche WiFi-Funktion. Neben Fotos können auch Videos aufgezeichnet werden. Besteht per WiFi eine Verbindung mit dem Internet, kann das HDMI-Signal live auf einen entfernten Rechner bzw. in die Cloud gestreamt werden.

Gegenmaßnahmen

Eine einfache Gegenmaßnahme ist bei Screenloggern schwierig zu realisieren, da sie nicht als weiteres Gerät erkannt werden und daher auch keine Software oder Treiber benötigt werden. Der Vorteil ist allerdings, dass zumindest das hier vorgestellte Beispielgerät über keinen Passwortschutz verfügt. Dadurch kann nach der Entdeckung die Informationen ausgelesen werden und abgeschätzt werden, seit wann der Adapter angeschlossen ist.

Als effektive Abwehrmaßnahme sind hier ebenfalls bauliche Maßnahmen als Schutz zu empfehlen. Der Rechner ist dann so zu verbauen (z.B. in einem abschließbaren Fach im Schreibtisch), dass ein Anschluss eines Screen Loggers nicht mehr möglich ist.

Logger Artikelserie

Dieser Artikel ist Teil der Artikelserie „Logger als Angriffstools“, die dem Themenschwerpunkt Hacking Hardware angehört. In dieser Artikelserie beschreibe ich verschiedene Arten von Loggern, damit diese erkannt und effektive Gegenmaßnahmen getroffen werden können.

Über Tobias Scheible

Tobias Scheible

Hallo, mein Name ist Tobias Scheible. Ich bin begeisterter Informatiker und Sicherheitsforscher mit den Schwerpunkten Cyber Security und IT-Forensik. Mein Wissen teile ich gerne anhand von Fachartikeln hier in meinem Blog. Als Referent halte ich Vorträge und Workshops für Verbände und Unternehmen u. a. auch offene Veranstaltungen für den VDI und die IHK.

Kommentare

Es wurde noch kein Kommentar abgegeben.

Schreibe einen Kommentar!

Hilfe zum Kommentieren

Um kommentieren zu können, geben sie bitte mindestens ihren Namen und ihre E-Mail-Adresse an. Bitte nutzen Sie die Kommentarfunktion nicht dazu, andere zu beleidigen oder Spam zu verbreiten. Trolle und Spammer sind hier unerwünscht! Unangemessene Kommentare, die zum Beispiel gegen geltendes Recht verstoßen oder eine Gefährdung anderer Besucher darstellen, werden gelöscht oder angepasst.

Name: Ihr Name, der oberhalb des Kommentars steht, gerne auch Ihren echten Namen, das erleichtert die Kommunikation für alle. Sollte ein Spam-Keyword als Name verwendet werden, kann dieses entfernt oder korrigiert werden.

E-Mail: Ihre E-Mail Adresse dient zur Identifizierung weiterer Kommentare und sie haben die Möglichkeit, ein Avatar-Bild zu verwenden. Dazu müssen Sie mit Ihrer E-Mail Adresse bei Gravatar angemeldet sein. Die E-Mail Adresse wird natürlich nicht veröffentlicht und nicht weitergegeben.

Website: Hier können Sie ihren eigenen Blog bzw. ihre eigene Website eintragen, dadurch wird Ihr Name und Ihr Avatar-Bild verlinkt. Werden rein kommerzielle Angebote offensichtlich beworben, setze ich den Link auf nofollow und unangemessene werden einfach entfernt.

Erlaubte HTML-Tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <hr> <big> <small> <sub> <sup> <u>

Ihre E-Mailadresse wird nicht veröffentlicht. Mit dem Absenden anerkennen Sie die Datenschutzerklärung des Blogs.