skip to main | skip to sidebar
49 commenti

Sì, le chiavette USB lasciate in giro come esca funzionano

È un espediente usato spesso nelle trame dei film e telefilm quando si vuole mostrare un tentativo di intrusione informatica: lasciare nelle vicinanze dell’azienda o della persona presa di mira delle chiavette USB che facciano da esca e poi attendere che il bersaglio le trovi e, mosso da curiosità, le infili in un computer, in modo che il malware contenuto nelle chiavette possa infettarlo e poi rubare dati o compiere altre nefandezze.

La tecnica è stata mostrata, per esempio, in una puntata della prima stagione di Mr. Robot, telefilm-culto fra gli informatici per il realismo delle modalità d’intrusione digitale che mostra. Ma questa storia delle chiavette è davvero credibile? La gente è davvero così curiosa e ingenua?

Purtroppo sì: pochi giorni fa, al convegno statunitense BlackHat, Elie Bursztein di Google ha presentato i risultati di un esperimento nel quale quasi 300 chiavette USB sono state lasciate in giro nel campus della University of Illinois Urbana-Champaign. Il 98% delle chiavette è stato raccolto (la prima solo sei minuti dopo il piazzamento) e il 45% è stato non solo inserito in un computer connesso a Internet ma sfogliato cliccando sui suoi file.

Le chiavette disseminate sono state etichettate con nomi diversi (“esami”, “confidenziale”, con chiavi e indirizzo del proprietario, oppure senza alcuna indicazione) per vedere quali nomi erano più allettanti. La buona notizia è che le chiavette che recavano le coordinate del proprietario sono state quelle meno aperte.

Alle cavie dell’esperimento è andata bene, perché sulle chiavette c’era solo un innocuo sondaggio tracciante, ma Bursztein ha mostrato come sarebbe stato possibile camuffare come chiavetta USB un emulatore di tastiera che poteva prendere il controllo del computer. Mai fidarsi, insomma, delle chiavette trovate in giro, neanche se hanno l’aria di contenere informazioni golose.


Fonte aggiuntiva: Tripwire.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (49)
se io la prendo e inserisco in un computer con linux che possa essere subito riformattato, e formatto la chiavetta per usarla sul pc personale?
Le chiavette disseminate sono state etichettate con nomi diversi (“esami”, “confidenziale”, con chiavi e indirizzo del proprietario, oppure senza alcuna indicazione) per vedere quali nomi erano più allettanti. La buona notizia è che le chiavette che recavano le coordinate del proprietario sono state quelle meno aperte.

Di solito, quando si parla di queste vicende, si tende a sottolineare come gli utenti compiano gesti avventati, come infilare dispositivi nei loro computer, aprire link o lanciare eseguibili senza preoccuparsi delle conseguenze (es. il classico caso dell'impiegato che apre l'allegato "foto delle vacanze" proveniente da una ragazza sconosciuta).

Ma qui non si potrebbe invece pensare che "alle cavie è andata bene" proprio perchè sapevano quello che stavano facendo?
Intanto bisogna notare che più di metà delle chiavette non è stato inserita in alcun computer (o forse sono state inserite in "muletti" sacrificabili e non connessi al web).
Inoltre, se in un campus la gente inizia a trovare chiavette per terra, immagino che la voce si sparga e a qualcuno possa venire il sospetto che si tratti di un esperimento, se non un tentativo di frode. E poi, mettere le etichette (fisiche o virtuali) alle chiavette è qualcosa che sembra fin troppo ingenuo per essere reale. Davvero qualcuno scrive "confidenziale" su una chiavetta per ricordarsi cosa contiene? E davvero si porterebbe in giro quella chiavetta, col rischio di perderla?
Naaaaa.....un trucco del genere può attecchire con una persona poco informatizzata, ma non in un campus frequentato da 20enni nati col computer in casa. :)

Quanto a Mr Robot, ho un paio di considerazioni da fare, ma siccome c'è il rischio di un piccolo spoiler, lo metto in un altro commento, con tanto di segnalazione.

Ci sono malware anche per Linux. Non aprire alcun file è una parziale sicurezza ma non è detto e direi che col costo irrisorio di una "chiavetta" tanto valga lasciarla dove sta
Attenzione anche al fatto che potrebbero essere chiavette tipo "usb killer" come questa https://www.youtube.com/watch?v=_TidRpVWXBE
Alcune considerazioni su ciò che accade in Mr Robot.
Il commento è spoiler-free, tranne il terzo punto, che potrebbe effettivamente rovinarvi una scena della serie tv. Eventualmente fermatevi al secondo.

1) Il tizio che cade nel tranello della chiavetta appare un po' troppo sprovveduto per il tipo di lavoro che fa e il tipo di computer in cui infila il dispositivo. Senza dare troppi dettagli, dico solo che si tratta del computer del suo posto di lavoro, collegato a una rete aziendale che gestisce una struttura decisamente "pericolosa" se dovesse andare fuori controllo.
Ma niente, lui mette la chiavetta come se nulla fosse...

Non dico che sia una scena totalmente impossibile, in altri contesti sarebbe stata facilmente credibile, ma applicata a quello specifico lavoratore, appare più come un clichè che mal si sposa con il realismo (soprattutto dal punto di vista informatico) di questa serie.

2) Va però detto che anche il protagonista, quando riesce a trovare una chiavetta USB che [omissis] gli ha lasciato (peraltro ben nascosta e camuffata, in modo che nessun altro potesse trovarla) lui non prende alcuna precauzione al momento di aprirla: va in un internet point, la infila in un computer e apre il link che trova all'interno.
Non gli viene minimamente il dubbio che quella chiavetta potrebbe essere un modo per rintracciarlo o svelare la sua identità, ad esempio, agli altri clienti dell'internet point.
NOTA: il collegamento internet lui trova all'interno di quella chiavetta, esiste realmente, così come tutti i siti, link e addirittura i QR code che vengono mostrati nei vari episodi ;)

3) ****SPOILER ALERT*****
Tornando al punto 1, risulta molto più credibile l'idea che un malaware possa essere nascosto all'interno di quello che viene spacciato come un cd audio. In quel caso diventa molto più facile che qualcuno, trovandone uno abbandonato (o ricevendolo in regalo da parte di un artista in cerca di facile pubblicità) non pensi che possa contenere dei programmi dannosi o pericolosi e lo infili nel proprio computer senza pensare a guardare cosa c'è dentro.

Anche se la usi su (la maggiorparte dei sistemi) GNU/Linux sei vulnerabile ad attacchi di keylogging perche' il server grafico in voga (X) non richiede permessi di amministratore per accedere agli eventi di keypress (ad esempio: https://bugs.launchpad.net/ubuntu/+source/xserver-xorg-input-evdev/+bug/800172)
Mi è capitato due volte di trovare una scheda SD e una volta una chiavetta USB, tutte e tre le volte le ho controllate attraverso una Virtual Machine non connessa e senza accesso alla macchina host.
Io sono troppo curioso.
La infilerei dentro un raspberry con dentro linux :D
Non credo si possa eseguire qualcosa automaticamente all'inserzione di una chiavetta USB, almeno in Linux. Detto questo, io non lo farei comunque, ma solo per un eccesso di sicurezza.
Quindi, il fenomeno del "dead drops", ovvero le chiavette usb murate in giro con le quali praticare libero scambio di dati, è morto per sempre. RIP.
Questo commento è stato eliminato dall'autore.
Tra l'altro è proprio il vettore utilizzato nella realtà per diffondere Stuxnet nelle centrali nucleari iraniane.
Non credo si possa eseguire qualcosa automaticamente all'inserzione di una chiavetta USB, almeno in Linux. Detto questo, io non lo farei comunque, ma solo per un eccesso di sicurezza.

Ni. La cosa non ti protegge al 100%.
Alcuni di questi emulatori di tastiera funzionano contengono del codice malevolo inserito direttamente nel firmware del dispositivo USB e utilizzano degli exploit che dipendono dall'implementazione dello standard USB piu' che dal sistema operativo.
In soldoni, alcune di queste tecniche sono OS independent.
Questo commento è stato eliminato dall'autore.
Emanuel_e,

si, hai ragione, non ci avevo pensato: se il computer vede la USB key come un HID (Human Interface Device) gli consente di fare praticamente quello che vuole. Quindi più che "ni" direi "decisamente no".

C'è da dire comunque, che se ho capito bene si può riprogrammare un computer (almeno con linux) in modo da non consentire l'accesso a USB HID, ma non ho mai provato.

Di sicuro. questa funzionalità delle porte USB è un bel problema per la sicurezza... Come ha suggerito qualcuno una soluzione potrebbe essere che il computer chieda all'utente di battere una certa sequenza di tasti generata casualmente e mostrata sullo schermo prima di consentire l'accesso a nuovi HID.
Virgilio nell'eneide: "Timeo Danaos et dona ferentis", temo i greci e i doni che lasciano, parlando del cavallo di Troia.
Disabilitare l'autoplay, formattare le chiavette appena acquistate, non inserire nemmeno quelle "trovate": se nel firmware è stato inscritto un attacco 0-day non c'è formattazione che tenga (anche se questo tipo di attacco è molto specifico per sistema operativo).
Inquietante la chiavetta-killer segnalata da RunAway: carica dei condensatori e li scarica insieme dopo pochi secondi, la sovratensione frigge la scheda madre del PC.
"Timeo Danaos et dona ferentis", temo i greci e i doni che lasciano

Meglio: temo i Greci anche quando portano doni.
:-)
Di sicuro. questa funzionalità delle porte USB è un bel problema per la sicurezza... Come ha suggerito qualcuno una soluzione potrebbe essere che il computer chieda all'utente di battere una certa sequenza di tasti generata casualmente e mostrata sullo schermo prima di consentire l'accesso a nuovi HID

Beh, ma se uno collega una nuova periferica al proprio pc, la motivazione più logica è che tu la voglia utilizzare :-)
La verità è che, quando si ha l'accesso fisico alla macchina, non c'è più sicurezza che tenga. L'unica cosa che può veramente funzionare è l'educazione in ambito informatico.
Come i nostri genitori ci insegnavano a non accettare le caramelle dagli sconosciuti, allo stesso modo la gente deve essere formata su come non accettare alla cieca gli allegati delle e-mail o le "caramelle" USB trovate per strada.
Martinobri, dal film "The Rock", nel dialogo tra Connery e Cage: "I fear the Greeks even they bring gifts".
Hai ragione, è Portano e non Lasciano, ma quell' "anche" proprio non c'è, i latini erano gente concisa.
Come nel detto "Gustibus non disputandum est", un latino non avrebbe aggiunto mai quell' "est" ;)
(tono disteso e conciliatorio)
Due contributi:

Per la traduzione e per il significato di et (al paragrafo Traduzioni).


No ma mi state dicendo che c'è gente che davvero usa i dead drop?

Ma tornando a noi, che io sappia ci sono modelli di PC in cui si possono disabilitare le porte usb. Ma ovviamente non è una soluzione.
si Emanuel, ma visto che esiste questa evidente falla nello standard USB, quell'idea non sarebbe malvagia. O no?
Questo commento è stato eliminato dall'autore.
PGC: problema, il computer non ha modo di capire se la periferica viene collegata in questo momento o lo è già al momento del boot. Perché il sistema di sicurezza funzioni devo inserire la combinazione di tasti (diciamo tipo un PIN) ogni volta che il computer attiva una periferica, sia che venga collegata in quel momento, sia se già presente a pc spento, altrimenti non serve.
Quindi: come faccio a digitare una sequenza di tasti senza una tastiera?
Mi direte: beh, la digito sul dispositivo che inserisco e POI lo posso usare. Certo, ma per farlo il PC deve comunicare in modo bidirezionale col dispositivo (e se è modificato può benissimo introdurre una sequenza "finta"). Quindi no, non esiste modo. Peccato.
Per maggiore sicurezza con le chiavette.
Su Linux (Ubuntu & Mint) si può aprire il File Manager -> modifica -> preferenze -> supporti -> togliere la spunta a "esplorare supporti quando inseriti".
Su windows ci si può affidare a programmi di terze parti, USB disabler, USB Manager, Panda usb vaccine, oppure manovrare dal pannello di controllo. Ma "chissene", è come togliere il raffreddore da una polmonite.
guarda me ne sono trovata una tra i piedi l'altro giorno, ho pensato a cosa sarebbe potuto succedere, non avevo un computer "sacrificale" in mano per cui l'ho lasciata li'...
@fakoll
volendo anche il firmare e' infettabile (vedi per esempio il keylogger che e' stato installato nelle tastiere del mac)
quindi anche se hai una macchina "sacrificabile" quella chiavetta non e' mai sicura al 100% e come ha fatto notare Lupo considerato il costo il gioco non vale la candela... Al massimo se lo fai e' per vedere cosa c'e' dentro :)
@PhotosTeon
si ma li' la volpata e' stata tripla
1) usavano windows
2) il volpone ha attaccato la chiavetta infetta su un computer aziendale
3) non c'e' un punto 3
@Lupo
le porte usb le puoi disabilitare dal BIOS ma non mi pare una buona soluzione, considerato che ormai tutto viaggia su usb... e considerato che questo non fermerebbe un eventuale aggressore, ti impedisce solo di usare una chiavetta usb come veicolo di infezione. In tal caso meglio educare l'utente... E non usare un S/O vulnerabile ;)
Lupo,
forse sono io che non capisco quello che dici ma le cose mi sembra stiano in modo diverso.

I dispositivi di cui parliamo sono chiamati HID, e sono una classe a parte.

Se ne inserisci uno in una porta USB DEVE essere una interfaccia umana, e quindi DEVE consentire di inserire dei dati (o, per esempio, di cliccare sullo schermo una certa sequenza). All'inserimento l'O/S interroga il dispositivo: se è HID (altrimenti non è in grado di interagire) gli chiede di copiare una sequenza di lettere che appare su uno schermo.

Se è una tastiera riprogrammata da HID, l'utente se ne rende conto subito e non è in grado di copiare la sequenza.

Certamente ci può essere il caso specifico di una tastiera usb senza che ci sia uno schermo (per esempio per inserire una chiave) ma francamente penso sarebbe meglio precludere un uso marginale che esporre i computer a rischi del genere. Giocoforza molta gente si trova a dover condividere chiavette USB (a me per lavoro succede spesso) e l'idea di dover rinunciare del tutto a questo utile dispositivo di memoria a causa di un errore nel definire uno standard mi sembra bizzarra...
Lupo fa giustamente notare che comunque il canale deve essere aperto.

Vero, ma il problema della riprogrammazione del firmware è che tenta di eseguire uno script. Se l'O/S intercetta tutto quello che viene dal dispositivo e PRIMA DI ESEGUIRLO verifica che l'HID sia genuino, il problema mi sembrerebbe risolto.
Si ma il PC non può capire se l'input dalla periferica é reale (io che scrivo) o simulato. Non solo, ma per avere un controllo efficace dovrei digitare il codice anche quando accendo il PC, cosa che mi pare molto scomoda.

Sul fatto di "aprire" nel file manager la chiavetta mi pare che sia un rischio minimo, basta disattivare l'esecuzione automatica (Windows lo chiama autorun) che non c'entra con visualizzare i file sulla chiavetta. I problemi sono a livello più basso.
Vero, ma il problema della riprogrammazione del firmware è che tenta di eseguire uno script. Se l'O/S intercetta tutto quello che viene dal dispositivo e PRIMA DI ESEGUIRLO verifica che l'HID sia genuino, il problema mi sembrerebbe risolto.

Eh no. Il computer non riceve uno script da eseguire. Vede solo una tastiera USB che invia determinati comandi.
Che questi ultimi facciano parte di uno script, il pc non ne ha idea, dal momento che il tutto viene eseguito internamente al firmware del dispositivo USB stesso.
@pgc
per avere la certezza che il sw sia "genuino" dovresti avere dei certificati di autenticita' e un controllo sull'hardware. Ti dice niente il nome palladium?
Questo commento è stato eliminato dall'autore.
Windows, durante la rilevazione del nuovo hardware ti dice cosa ha trovato.
Se, inserendo un chiavetta usb, avvisa che sta installando una periferica HID si può agire subito togliendo la chiavetta prima che possa installarsi e far danno.

Il problema è che praticamente nessuno va a guardare i dettagli durante la rilevazione del nuovo hardware. Io lo faccio per curiosità ma, francamente, non è detto che farei caso a un avviso del genere.

E se si tornasse a delle porte specifiche per mouse e tastiere? :-)
Continua a sembrarmi evidente che il problema che una memoria si possa presentare come tastiera senza che l'operatore se ne renda conto sia di fondo, ma risolvibile FORSE attraverso un semplice check da parte dell'operatore. Se avessi modo (ma lo standard USB è veramente complesso) cercherei di realizzare uno script che se identifica un dispositivo di classe HID (una delle 4 disponibili) appena connesso al mio laptop mi chieda: "Hai inserito una dispositivo HID ad una porta USB del computer? Per abilitarlo, batti questa sequenza: [segue sequenza alfanumerica random]". E' analogo al sistema che si usa per esempio per i dispositivi bluetooth o Airport per verificare la veridicità di una richiesta di connessione. Niente di più e niente di meno.

Il problema degli autorun, che possono essere disabilitati facilmente, poco ha a che fare col problema segnalato nell'articolo.

Smetto qui per evitare di ripetermi, almeno fino a che qualcuno non tirerà fuori un argomento contrario che mi sembri convincente. Può essere che mi sfugga un punto fondamentale, e vi leggerò senz'altro. Niente polemiche, intendiamoci, ma semplicemente differenti valutazioni.

saluti a tutti
Banalmente il Pin del bluetooth viene inserito tramite un altro device rispetto a quello che stai connettendo, difatti le tastiere bt non mi pare chiedano nulla se non mi sbaglio
@pgc
. Se avessi modo (ma lo standard USB è veramente complesso) cercherei di realizzare uno script che se identifica un dispositivo di classe HID (una delle 4 disponibili) appena connesso al mio laptop mi chieda: "Hai inserito una dispositivo HID ad una porta USB del computer? Per abilitarlo, batti questa sequenza: [segue sequenza alfanumerica random]".

Se la periferica HID inserita è la nuova tastiera USB comprata perché la vecchia non funziona più, come inserisci la sequenza random?
:-)
la citazione esatta è "Timeo Danaos et dona ferentes"
ferentes concorda con l'accusativo plurale Danaos
ferentis sarebbe genitivo singolare di ferens, participio presente di fero,fers, tuli, latum, ferre
Ricordi di Liceo Ginnasio.....
Guastulfo,

se è una tastiera, attraverso la tastiera stessa. Se il codice che inserisci per primo è quello giusto, bene: la tastiera sarà abilitata. Se non lo è (ed è per esempio un messaggio che cerca di scaricare del malware) la tastiera non viene abilitata in quanto il codice è errato.

Se non è una tastiera... la cosa mi darebbe la prova che la periferica contiene il badusb e non mi resterebbe che rimuoverla dalla porta, avvisando il proprietario.

Nota che in quanto il computer è in attesa del codice giusto, non potrà fare altro che aspettare la risposta, esattamente come accade quando rimane una finestra di input (es. "vuoi salvare questo documento? Si/No") il pc non riesce nemmeno a fare un reboot.

Il problema semmai potrebbe essere che il sistema HID potrebbe NON essere una tastiera (per esempio un lettore di codici a barre, o un mouse), ma in quel caso, se è un computer ha necessariamente una tastiera, se non lo è, a me quello che interessa è non rischiare che qualcuno mi debba dare una chiavetta per trasferire un file importante ad un convegno che in realtà nasconde del malware BadUsb nel firmware, senza che magari il proprietario lo sapesse.
@pgc
se è una tastiera, attraverso la tastiera stessa. Se il codice che inserisci per primo è quello giusto, bene: la tastiera sarà abilitata. Se non lo è (ed è per esempio un messaggio che cerca di scaricare del malware) la tastiera non viene abilitata in quanto il codice è errato.

Non credo che risolva il problema: il firmware malevolo potrebbe comunque agire successivamente all'abilitazione della periferica.

Nota che in quanto il computer è in attesa del codice giusto, non potrà fare altro che aspettare la risposta, esattamente come accade quando rimane una finestra di input (es. "vuoi salvare questo documento? Si/No") il pc non riesce nemmeno a fare un reboot.

Questo non è vero: è solo l'applicazione che resta ferma in attesa di input; il sistema operativo continua a lavorare. Infatti, in alcuni casi, se si preme la combinazione ALT+TAB si può passare tranquillamente a un'altra applicazione e lasciare in attesa di input la prima.

Comunque penso che il S.O. potrebbe essere settato per "congelarsi" in attesa del codice ma questo comporterebbe altri problemi.
Infatti, andrebbe tutto liscio se si inserisse la chiavetta mentre il computer è inattivo (col desktop visibile) ma se stesse girando un programma le cose si complicherebbero: il programma potrebbe non essere per nulla d'accordo a fermarsi e dare il controllo dello schermo e della tastiera al sistema operativo per inserire un codice. Protrebbe generarsi un errore.

L'ho detto un po' scherzando nel commento #36, ma forse davvero la soluzione migliore potrebbe essere dedicare porte apposite per le periferiche HID o tornare a qualcosa di simile alle porte tonde per tastiera (si chiamavano PS2 o quella è la Play Station 2? :-) ) anche se, magari, aggiornate tecnologicamente.
@Guastulfo
il problema e' che le usb sono tremendamente piu' flessibili, ci puoi attaccare di tutto, non solo mouse e tastiera ma qualsiasi componente e questo ti evita di avere un gazilione di porte dedicate ad uno scopo specifico inutilizzate.
"Non credo che risolva il problema: il firmware malevolo potrebbe comunque agire successivamente all'abilitazione della periferica."

Guastulfo, accetto e anzi invito a fare obiezioni, però cerchiamo di non fare obiezioni per il gusto di farle...

Se NON è una tastiera, ma è una memoria USB che vuole fare la tastiera, che è il problema delle memorie con il firmware badusb trattato in questo articolo di Paolo, per attivare il malware DEVE farsi passare per HID, altrimenti non sarebbe abilitata a funzionare da tastiera. Se lo è, chiaramente l'operatore vedrebbe il messaggio comparire sullo schermo e direbbe "come mai una memoria USB mi chiede di funzionare come HID???". Il problema è la CLASSE del dispositivo, che ha un identificativo preciso che permette di bypassare le protezioni del sistema operativo.

La cosa preoccupante è che questo firmware può essere praticamente installato in casa. Basta procurarsi la chiavetta giusta, che abbia un firmware Phison 2203: http://null-byte.wonderhowto.com/how-to/make-your-own-bad-usb-0165419/.
inoltre non ti risolve il problema, nel senso il firmware alterato puo' sempre esistere, e veicolare virus sara' sempre possibile (perche' comunque in qualche modo file da un computer all'altro li devi lo stesso trasferire)
@pgc
Guastulfo, accetto e anzi invito a fare obiezioni, però cerchiamo di non fare obiezioni per il gusto di farle...

Ehm... sì, mi ero dimenticato che il blocco lo applicheresti solo per le periferiche HID. Sorry.

Si dovrebbe anche implementare anche un numero massimo di tentativi per inserire il pin corretto.
Superati, ad esempio, cinque tentativi la periferica andrebbe rimossa e ricollegata per attivarla. Questo per evitare gli attacchi di forza bruta.

Resta comunque il fatto che la tastiera stessa può avere un firmware modificato.

Secondo me difficilmente simili attacchi sarebbero orientati verso la gente comune perché ci sono dei costi da sostenere (per avere un ritorno economico quante chiavette si dovrebbero abbandonare?).

Le aziende con segreti industriali da difendere proibiscono l'uso di chiavette, CD e qualsiasi strumento in grado di immagazzinare dati e trasferirli all'esterno.
Ciò rende questo tipo di attacchi piuttosto difficili da realizzare.

Penso che, in questi casi, l'alterazione del firmware di una tastiera potrebbe essere più efficace. O anche la "modifica" di periferiche "insospettabili".

Mi ricordo (ma potrei sbagliarmi) di aver sentito di stampanti modificate che servirono per mandare in tilt la contraerea nella prima guerra in Iraq.
Guido,

Si ma quello è un problema da antivirus. Nulla a che fare con questo.
Guido,

Si ma quello è un problema da antivirus. Nulla a che fare con questo.
@pgc
Si ma quello è un problema da antivirus. Nulla a che fare con questo.
intendi una chiavetta usb che si fa passare da tastiera? Molto spesso l'operatore non li vede i messaggi e non controlla cosa sta installando il sistema operativo, almeno su winzozz 7 che ho a lavoro e' cosi', tu attacchi una tastiera che il s/o non ha mai visto e quello ti macina una decina di minuti in background, devi andare a vedere te non hai nessun alert... Di conseguenza un operatore "normale" semplicemente si chiedera' come mai ci mette cosi' tanto a vedergli la chiavetta.
se invece il keylogger lo installi alterando il firmware di qualcosa non e' un problema di usb...