skip to main | skip to sidebar
27 commenti

Attaccare un computer tramite la porta USB


Il video mostrato qui sopra è impressionante, tanto che c'è chi si chiede se si tratti di una finzione: davvero è possibile prendere il controllo di un Mac semplicemente inserendo in una sua porta USB uno strano dispositivo autocostruito?

La risposta è sì: i computer di tutte le principali marche si fidano ciecamente dei dispositivi collegati alle porte USB. Se un dispositivo dichiara al computer di essere una tastiera o un mouse USB, il computer gli crede e ne accetta i segnali. Il trucco usato nel video, spiegato qui dal ricercatore Samy Kankar, non fa che mandare delle digitazioni e delle cliccate di mouse scelte astutamente per aprire una finestra di terminale, cambiare alcune impostazioni e installare una backdoor. La dimostrazione avviene su un Mac, ma l'attacco può essere modificato per funzionare anche su sistemi Windows e Linux.

Come si risolve una vulnerabilità fondamentale del genere? Evitando la promiscuità USB: non collegate dispositivi dall'aria strana e non lasciate sbloccato e incustodito il vostro computer, ma proteggetelo con una password sul salvaschermo, da attivare ogni volta che vi allontanate, specialmente se siete in un ambiente non sicuro.

Purtroppo, come segnala Gizmodo, è necessario fare attenzione anche agli alimentatori USB per la ricarica delle batterie degli smartphone, che possono incorporare emulatori di tastiera che tentano di attaccare il telefonino o tablet durante la ricarica.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (27)
Tu che sei stato un feroce detrattore di Palladium, se tutto richiedesse un certificato queste e molte altre cose non accadrebbero. Per il rischio del tutto ipotetico (se non fantasioso) che MS o chi per essa decidesse che software puoi utilizzare si è lasciato campo aperto al controllo di questo e di molto altro alla criminalità. Bel colpo.

Andava normato in modo che tutti gli usi legittimi fossero tutelati, ma non cassato. Adesso ci ritroviamo comunque piattaforme e ambienti più blindati di quanto dovrebbero essere (vedi dispositivi iOS), perché tanto non si è legiferato in merito; dove invece si è liberi di far tutto la criminalità festeggia. Quanto siete stati ciechi.
Si, ma il sistema presume che tu abbia l'accesso amministratore abilitato senza richiesta di password.

Sul Mac che ho qui in ufficio, per esempio, non posso modificare le opzioni della rete, visto che mi chiede la password.
E poco importa se ci clicco col mouse, i pulsanti non rispondono. Ho appena provato. Quindi, lui come fa?
Effettivamente la scelta dell'USB come "porta di alimentazione universale" non sembra più tanto furba ...
ummmm chissà se basta anche un firefox con il plugin virtual OS che simula nel browser un sistema operativo nel sistema operativo.

(silverOS o virtual os per esempio)
gabriele: teoricamente no...
Non mi sembra affatto una vulnerabilità. Su un computer configurato bene l'utente non può installare niente senza una password, a maggior ragione una backdoor. Inoltre, la falsa tastiera/mouse introduce input "ciechi", cioè senza ricevere il feedback video. Questa procedura è enormemente fragile. Cosa succede se l'interfaccia del sistema operativo ha una configurazione diversa da quella prevista? Per esempio, se gli shortcut sono diversi, se la disposizione delle finestre è diversa, se vengono visualizzati delle finestre di dialogo non previste, o semplicemente se il sistema risponde con più ritardo di quanto previsto?

Infine, uno hacker che può inserire una penna USB dispone anche dell'accesso fisico al computer, quindi perché non digitare direttamente sulla tastiera vera?
@FX da quando normare, legiferare e blindare sono soluzioni a problemi come questo? Confesso che non ricordo più come funzionava Palladium nè ho voglia di googolare ma da sempre le uniche sicurezze che abbiamo sono il buon senso e le regole di base (password sicure, bloccare il pc, non usare account amministrativi, ecc.).

D'altronde ricordo che uno dei problemi che non risolveva il Palladium o Trust Computing era proprio quello di virus e trojan e la MS stessa non fece più di tanto per imporre la tecnologia forse perché sapeva in fondo che sarebbe stata inutile e avrebbe rappresentato una rottura per gli onesti ed un facile bypass per "i cattivi" un po come le tecnologie per l'attivazione di Windows7: le rete è piena di storie di tizi che esasperati dalla difficoltà di attivazione di copie lecite sono stati costretti a comportarsi illecitamente.

My 2 cents
Leggendo la pagina c'è un trucco per far partire il mouse da un punto fisso della finestra, ma questo non risolve il problema del prompt della password di amministratore.
Sono d'accordo con Heavymachinegun. Questa roba è una vulnerabilità nella stessa misura in cui un tizio che attacca una tastiera al mio pc in mia assenza e digita quello che vuole è una vulnerabilità.
Non è che siccome lo fa una macchina e non una persona dobbiamo lasciarci impressionare.
Fx,

Tu che sei stato un feroce detrattore di Palladium, se tutto richiedesse un certificato queste e molte altre cose non accadrebbero.

Certo. Perché a nessuno, mai, è stato rubato un certificato. (*COUGH* Sony *COUGH*).

Quello che proponi è il modello Apple iOS: non avrai altro fornitore al di fuori di me, avrai solo le app approvate a mio insindacabile giudizio, imporrò arbitrariamente le mie regole morali. Questi sono fatti, non congetture. Il monopolio porta agli abusi e non risolve il problema. Non per nulla esiste il jailbreak; non per nulla esiste anche il malware per iOS, capace di agire anche senza jailbreak.

La tua idea mi suona come un "se tutti i cittadini fossero sempre sorvegliati, nessuno commetterebbe crimini": è un mito ed è l'antitesi di una società civile.

Se vuoi essere il primo a installarti la telecamera in camera da letto, nella doccia, al gabinetto e in ufficio, fai pure :-)
Heavymachinegun,

uno hacker che può inserire una penna USB dispone anche dell'accesso fisico al computer, quindi perché non digitare direttamente sulla tastiera vera?

Questione di velocità e visibilità.

Digitare i comandi giusti, senza sbagliare, richiede concentrazione e tempo in una situazione di stress (se ti beccano son guai). Tempo durante il quale, oltretutto, devi stare visibilmente davanti alla tastiera.

Con il dispositivo USB ti avvicini, inserisci e te ne vai; ripassi dopo per riprendertelo.

Ti assicuro che fa molta differenza :-)
@Paolo
Digitare i comandi giusti, senza sbagliare, richiede concentrazione e tempo in una situazione di stress (se ti beccano son guai). Tempo durante il quale, oltretutto, devi stare visibilmente davanti alla tastiera.

Se ho queste preoccupazioni posso collegare un USB con dentro un eseguibile/script con i comandi da inserire. Il tempo di mettere il dispositivo e di un click, quindi è uguale.
Questa cosa di "fingersi" una tastiera USB mi sembra solo un effetto speciale, e soprattutto non posso lamentarmi con chi ha fatto l'USB se un tizio fa praticamente una tastiera o un mouse che funzionano soli.
Quindi il blocco Kensington (serrature per USB incustodite) non è una boiata?!
http://www.lindy.it/Sicurezza.htm?websale8=ld0101.ld040104&ci=6006
Come ha detto Fabio, più che imitare degli input tastiera/mouse è più efficiente e robusto eseguire uno script.
Insomma l'attacco è "curioso" (confesso che a me non era mai venuto a mente), ma non pericoloso.
Rispetto ad uno script, un dispositivo del genere lo si può collegare a pc spento e farlo intervenire senza essere sul posto. Oppure su un notebook con coperchio chiuso. O su un tablet/smartphone collegato ad un alimentatore modificato. Lo si può integrare in un oggetto USB che si sa che la vittima attaccherà al pc. O lasciare un tot di finte pendrive in un parcheggio (http://blog.erratasec.com/2014/12/all-malware-defeats-90-of-defenses.html) che non verranno mai bloccate da antivirus, essendo in realtà delle "tastiere" o degli hub usb con tastera e pendrive contenenti innocenti file.
Con il dispositivo USB ti avvicini, inserisci e te ne vai; ripassi dopo per riprendertelo.

O, meglio, lasciare "casualmente" il dispositivo sulla scrivania della vittima in modo che sia essa stessa ad inserirlo.
Nella maggior parte dei casi la vittima lavora con i privilegi di amministratore o ne conosce la password, quindi, con i giusti "stimoli", non è difficile far scattare una trappola del genere.

Lo script, inoltre, può sempre essere personalizzato per il bersaglio.

Quella del video era solo un esempio di applicazione, ma immaginatevi lo scenario dello spionaggio industriale.

Le potenzialità di un aggeggio del genere sono notevoli.
Paolo: ho esplicitamente detto che il modello Apple è troppo restrittivo, tuttavia sono innegabili i vantaggi che offre in termini di sicurezza per l'utonto. Il punto è offrire un sistema analogo che garantisca però agli sviluppatori di poter distribuire il proprio software secondo delle regole corrette ovvero volte a tutelare l'utente, non la posizione predominante dell'azienda x o y. Vien da se che i protagonisti nella stesura di queste regole non possano essere le aziende ma gli stessi che fanno le leggi di tutela al consumatore, le leggi antitrust e così via: gli Stati.

Bloccare un malware sul nascere perché glo revochi il certificato appena ti accorgi che fa cose losche... Che figata.

Cmq ripeto: già esistono, sono più blindati e più a uso e consumo della singola azienda di quanto si diceva di Palladium, e soprattutto vengono serenamente usati dai detrattori di un tempo di Palladium. Non mi darete mai la soddisfazione di ammettere che forse avete ingigantito i rischi e ignorato i vantaggi, ma vedervi usare iOS è ancora meglio :P
Io sono un detrattore di palladium e non uso iOS neanche per sbaglio.
Oltretutto una tale pennetta non funzionerebbe sul mio computer, uso linux, e senza password di amministratore col cavolo che modifichi tutte quelle impostazioni
Si, ma siamo sempre là... se il coso non sa la password di amministratore come fa?
però! app su iphone o android, magari sbloccati, meeting, "mi metteresti l'iphone in carica?" magari un secondo dispositivo per avviarla al momento giusto...
La storiella della password di admin a me ha sempre fatto morir dal ridere.

Ci fosse uno, dico uno che si ricorda che si sta parlando di PERSONAL computer. Il fatto che tu non abbia la password di amministratore significa:
1) che non hai libero accesso alle risorse del computer e in particolar modo alle home di altri utenti, che però esistono in uno scenario server, nell'uso comune del PC già vedere una multiutenza perché si è in 2 o 3 a usare la stessa macchina è raro. In pratica hai accesso a TUTTI I TUOI DATI.
2) che non posso fare modifiche sul sistema tipo installare / disinstallare software; tuttavia posso ESEGUIRE software

Morale: un sistema del genere può lanciare un rsync su un server remoto per copiare tutti i dati dell'utente e quindi piallarli (ehhh, ma non posso cancellare l'os, che gran soddisfazione), può leggere la rubrica, le email, le password memorizzate; soprattutto può ESEGUIRE software, il che significa che il fantomatico aggeggio USB al posto che fare tutte quelle operazioni potrebbe semplicemente lanciare un wget e eseguire lo script / il binario appena scaricato per far tutte le porcherie desiderate in modo infinitamente più discreto... inoltre che mi risulti (mai provato) puoi aggiungere voci nel cron anche da utente.

Per farla breve la pass di root ti serve se vuoi rendere uno zombie il PC oppure se vuoi avere un trojan in grado di svolgere funzioni avanzate, per tutto il resto non serve assolutamente a niente. Poi ci sarà sicuramente malware che te la chiede anche se fa cose per le quali potrebbe farne a meno, ma se c'è il cattivone di turno che non si applica / non è capace non significa che la pass di admin sia la panacea di tutti i mali. E' uno dei miti più difficili a morire.
Non capisco perché si dia tanta fiducia alla password di amministratore.

Una delle cose più difficili per un attaccante è ottenere una finestra terminale. Se questo aggeggio permette di aprire anche solo una finestra terminale con diritti di utente normale, il sistema è già condannato. Ad esempio si possono attaccare i demon, nel caso di linux, o i servizi, in caso di windows, in modo da ottenere l'accesso con diritti di amministratore. Non sottovalutate la potenza di powershell di Windows e del terminale di linux.

Come ho già scritto, quella del video è solo una dimostrazione e mi sembra ovvio che il messaggio di allerta non sia diretto a soggetti inutili come me, ma è diretto a chi ha informazioni preziose nei suoi pc; tanto preziose da rendere conveniente confezionare un attacco del genere.
"Non capisco perché si dia tanta fiducia alla password di amministratore"

Beh, se il computer è configurato a dovere (come dovrebbero essere sempre quelli aziendali, dato che sono i più appetibili per questo genere di attacchi), non è banale e non ce l'hai, puoi essere anche seduto alla tastiera ma oltre l'utente non ci vai.

Chiaramente se puoi riavviare la macchina (che è quello che questi dispositivi potrebbero fare), con una semplice combinazione di tasti su un Mac puoi avere l'accesso root senza password con tanto di istruzioni che ti spiegano come montare la partizione di sistema. A quel punto puoi fare quello che vuoi.

Il computer è PERSONAL. Certo, io in questo momento sto usando un account utente "non amministratore".
Se volete possiam fare una prova, vi dò accesso SSH a una mia installazione di linux :D
Beh, se il computer è configurato a dovere (come dovrebbero essere sempre quelli aziendali, dato che sono i più appetibili per questo genere di attacchi), non è banale e non ce l'hai, puoi essere anche seduto alla tastiera ma oltre l'utente non ci vai.

Io sicuramente non riuscirei a ottenere l'accesso root manco se mi dicessi la password :-D
Per un un vero hacker (da non confondere con i vari cracker che ci sono in giro), però, le cose possono essere differenti.

Sapevo che l'attacco più classico, una volta aperta un terminale (anche con privilegi minimi) è il buffer overflow verso un demon. Con questo tipo di attacco si può ottenere una finestra terminale con gli stessi privilegi del demon attaccato (in realtà si può anche dare direttamente un comando, tipo la cancellazione completa dei dati o il loro furto).

Quindi, se si attacca un demon che appartiene al gruppo root e ottengo, attraverso di esso, l'esecuzione di bash, quest'ultima avrà i privilegi di root con buona pace della tua password forte quanto vuoi.

Ecco perché molti sistemisti riducono all'osso i demon o i servizi che lavorano con privilegi alti e non dicono mai di essere al sicuro perché hanno una password forte e... dormono poco. Io pensavo che fosse perché, la sera, avessero appuntamenti galanti o andassero in qualche sito "carino" :-)
@Fx
E' vero che senza privilegi di amministratore puoi ugualmente eseguire software. Il pericolo maggiore infatti è che qualcuno DA REMOTO rubi file contenenti dati sensibili.
Tuttavia non puoi installare servizi, non puoi aprire porte al di sotto della 1024 (praticamente le uniche non bloccate dai firewall), non puoi scrivere in posti "sensibili" del sistema operativo. Attività di cui la maggior parte dei malware ha bisogno. E' per questo che i malware "seri" (vedi StuxNet e derivati) cercano sempre di fare privilege escalation.

Però nel caso della finta tastiera USB l'avversario ha ACCESSO FISICO al calcolatore. Se io ho accesso fisico al computer della vittima, cosa faccio? Ci inserisco una tastiera finta? E' come se io avessi una pistola carica e invece di sparare lanciassi i proiettili a mano contro la vittima cercando di colpirlo alla testa. Scomodare addirittura Palladium per difendersi da questi "attacchi" mi sembra eccessivo.


Comunque nemmeno io sono contrario al trusted computing sui PC. L'importante è che sia possa facilmente disabilitare.
Per gli utenti fascia bassa (cioè il 90%) è utile perché riduce drasticamente i problemi di malware. Gli utenti specialistici lo disabilitano e hanno un controllo totale sulla propria macchina. Dov'è il problema?
"Sapevo che l'attacco più classico, una volta aperta un terminale (anche con privilegi minimi) è il buffer overflow verso un demon. Con questo tipo di attacco si può ottenere una finestra terminale con gli stessi privilegi del demon attaccato (in realtà si può anche dare direttamente un comando, tipo la cancellazione completa dei dati o il loro furto)."

Si, ma non è che qualsiasi cosa che gira con privilegi maggiori dell'utente normale sia vulnerabile al buffer overflow. Certo che è il modo più semplice, lo mandi in buffer overflow e nella parte di memoria del'overflow (che appartiene al daemon coi privilegi elevati) ci butti dentro il tuo shellcode.
Fortunatamente i kernel moderni sono fatti per evitare questa cosa (incluso Windows, si chiama "protezione esecuzione programmi") isolando ogni applicazione in un'area di memoria riservata, quindi non è esattamente così facile come dirlo. Certo, se ci sono delle vulnerabilità specifiche allora tenti di sfruttarle, ma siamo sempre lì: se ho l'accesso fisico alla macchina potenzialmente posso portarmela via.
E anzi se sono dove c'è il computer, è molto facile che possa avere dei suggerimenti sulla password guardandolo, non dico il post-it con la password scritta sopra ma quasi. Secondo me, meglio approfittarne così che rischiare di mettere una chiavetta USB (che poi devo recuperare).
Insomma, una roba del genere ha lo stesso rischio di lasciare il computer incustodito: lo spengo, l'accendo con un mio pendrive nel lettore, monto il disco della vittima, copio /etc/passwd e sono a posto. Se il disco è criptato, invece, mi conviene rinunciare in partenza o ripiegare su un comodo keylogger hardware (tanto le mani sul PC ce le sto mettendo, matterci una pendrive usb che apre finestre e fa cose, oltretutto visibili, e metterci un keylogger che è invisibile cambia poco).