Cerca nel blog

2016/08/05

Sì, le chiavette USB lasciate in giro come esca funzionano

È un espediente usato spesso nelle trame dei film e telefilm quando si vuole mostrare un tentativo di intrusione informatica: lasciare nelle vicinanze dell’azienda o della persona presa di mira delle chiavette USB che facciano da esca e poi attendere che il bersaglio le trovi e, mosso da curiosità, le infili in un computer, in modo che il malware contenuto nelle chiavette possa infettarlo e poi rubare dati o compiere altre nefandezze.

La tecnica è stata mostrata, per esempio, in una puntata della prima stagione di Mr. Robot, telefilm-culto fra gli informatici per il realismo delle modalità d’intrusione digitale che mostra. Ma questa storia delle chiavette è davvero credibile? La gente è davvero così curiosa e ingenua?

Purtroppo sì: pochi giorni fa, al convegno statunitense BlackHat, Elie Bursztein di Google ha presentato i risultati di un esperimento nel quale quasi 300 chiavette USB sono state lasciate in giro nel campus della University of Illinois Urbana-Champaign. Il 98% delle chiavette è stato raccolto (la prima solo sei minuti dopo il piazzamento) e il 45% è stato non solo inserito in un computer connesso a Internet ma sfogliato cliccando sui suoi file.

Le chiavette disseminate sono state etichettate con nomi diversi (“esami”, “confidenziale”, con chiavi e indirizzo del proprietario, oppure senza alcuna indicazione) per vedere quali nomi erano più allettanti. La buona notizia è che le chiavette che recavano le coordinate del proprietario sono state quelle meno aperte.

Alle cavie dell’esperimento è andata bene, perché sulle chiavette c’era solo un innocuo sondaggio tracciante, ma Bursztein ha mostrato come sarebbe stato possibile camuffare come chiavetta USB un emulatore di tastiera che poteva prendere il controllo del computer. Mai fidarsi, insomma, delle chiavette trovate in giro, neanche se hanno l’aria di contenere informazioni golose.


Fonte aggiuntiva: Tripwire.

49 commenti:

FAKoLL ha detto...

se io la prendo e inserisco in un computer con linux che possa essere subito riformattato, e formatto la chiavetta per usarla sul pc personale?

Replicante Cattivo ha detto...

Le chiavette disseminate sono state etichettate con nomi diversi (“esami”, “confidenziale”, con chiavi e indirizzo del proprietario, oppure senza alcuna indicazione) per vedere quali nomi erano più allettanti. La buona notizia è che le chiavette che recavano le coordinate del proprietario sono state quelle meno aperte.

Di solito, quando si parla di queste vicende, si tende a sottolineare come gli utenti compiano gesti avventati, come infilare dispositivi nei loro computer, aprire link o lanciare eseguibili senza preoccuparsi delle conseguenze (es. il classico caso dell'impiegato che apre l'allegato "foto delle vacanze" proveniente da una ragazza sconosciuta).

Ma qui non si potrebbe invece pensare che "alle cavie è andata bene" proprio perchè sapevano quello che stavano facendo?
Intanto bisogna notare che più di metà delle chiavette non è stato inserita in alcun computer (o forse sono state inserite in "muletti" sacrificabili e non connessi al web).
Inoltre, se in un campus la gente inizia a trovare chiavette per terra, immagino che la voce si sparga e a qualcuno possa venire il sospetto che si tratti di un esperimento, se non un tentativo di frode. E poi, mettere le etichette (fisiche o virtuali) alle chiavette è qualcosa che sembra fin troppo ingenuo per essere reale. Davvero qualcuno scrive "confidenziale" su una chiavetta per ricordarsi cosa contiene? E davvero si porterebbe in giro quella chiavetta, col rischio di perderla?
Naaaaa.....un trucco del genere può attecchire con una persona poco informatizzata, ma non in un campus frequentato da 20enni nati col computer in casa. :)

Quanto a Mr Robot, ho un paio di considerazioni da fare, ma siccome c'è il rischio di un piccolo spoiler, lo metto in un altro commento, con tanto di segnalazione.

Il Lupo della Luna ha detto...

Ci sono malware anche per Linux. Non aprire alcun file è una parziale sicurezza ma non è detto e direi che col costo irrisorio di una "chiavetta" tanto valga lasciarla dove sta

RunAway ha detto...

Attenzione anche al fatto che potrebbero essere chiavette tipo "usb killer" come questa https://www.youtube.com/watch?v=_TidRpVWXBE

Replicante Cattivo ha detto...

Alcune considerazioni su ciò che accade in Mr Robot.
Il commento è spoiler-free, tranne il terzo punto, che potrebbe effettivamente rovinarvi una scena della serie tv. Eventualmente fermatevi al secondo.

1) Il tizio che cade nel tranello della chiavetta appare un po' troppo sprovveduto per il tipo di lavoro che fa e il tipo di computer in cui infila il dispositivo. Senza dare troppi dettagli, dico solo che si tratta del computer del suo posto di lavoro, collegato a una rete aziendale che gestisce una struttura decisamente "pericolosa" se dovesse andare fuori controllo.
Ma niente, lui mette la chiavetta come se nulla fosse...

Non dico che sia una scena totalmente impossibile, in altri contesti sarebbe stata facilmente credibile, ma applicata a quello specifico lavoratore, appare più come un clichè che mal si sposa con il realismo (soprattutto dal punto di vista informatico) di questa serie.

2) Va però detto che anche il protagonista, quando riesce a trovare una chiavetta USB che [omissis] gli ha lasciato (peraltro ben nascosta e camuffata, in modo che nessun altro potesse trovarla) lui non prende alcuna precauzione al momento di aprirla: va in un internet point, la infila in un computer e apre il link che trova all'interno.
Non gli viene minimamente il dubbio che quella chiavetta potrebbe essere un modo per rintracciarlo o svelare la sua identità, ad esempio, agli altri clienti dell'internet point.
NOTA: il collegamento internet lui trova all'interno di quella chiavetta, esiste realmente, così come tutti i siti, link e addirittura i QR code che vengono mostrati nei vari episodi ;)

3) ****SPOILER ALERT*****
Tornando al punto 1, risulta molto più credibile l'idea che un malaware possa essere nascosto all'interno di quello che viene spacciato come un cd audio. In quel caso diventa molto più facile che qualcuno, trovandone uno abbandonato (o ricevendolo in regalo da parte di un artista in cerca di facile pubblicità) non pensi che possa contenere dei programmi dannosi o pericolosi e lo infili nel proprio computer senza pensare a guardare cosa c'è dentro.

Daniele ha detto...

Anche se la usi su (la maggiorparte dei sistemi) GNU/Linux sei vulnerabile ad attacchi di keylogging perche' il server grafico in voga (X) non richiede permessi di amministratore per accedere agli eventi di keypress (ad esempio: https://bugs.launchpad.net/ubuntu/+source/xserver-xorg-input-evdev/+bug/800172)

Guga ha detto...

Mi è capitato due volte di trovare una scheda SD e una volta una chiavetta USB, tutte e tre le volte le ho controllate attraverso una Virtual Machine non connessa e senza accesso alla macchina host.

Darshan ha detto...

Io sono troppo curioso.
La infilerei dentro un raspberry con dentro linux :D

pgc ha detto...

Non credo si possa eseguire qualcosa automaticamente all'inserzione di una chiavetta USB, almeno in Linux. Detto questo, io non lo farei comunque, ma solo per un eccesso di sicurezza.

Jonny Dio ha detto...

Quindi, il fenomeno del "dead drops", ovvero le chiavette usb murate in giro con le quali praticare libero scambio di dati, è morto per sempre. RIP.

Marco Pontello ha detto...
Questo commento è stato eliminato dall'autore.
PhthonosTheon ha detto...

Tra l'altro è proprio il vettore utilizzato nella realtà per diffondere Stuxnet nelle centrali nucleari iraniane.

Emanuel_e ha detto...

Non credo si possa eseguire qualcosa automaticamente all'inserzione di una chiavetta USB, almeno in Linux. Detto questo, io non lo farei comunque, ma solo per un eccesso di sicurezza.

Ni. La cosa non ti protegge al 100%.
Alcuni di questi emulatori di tastiera funzionano contengono del codice malevolo inserito direttamente nel firmware del dispositivo USB e utilizzano degli exploit che dipendono dall'implementazione dello standard USB piu' che dal sistema operativo.
In soldoni, alcune di queste tecniche sono OS independent.

pgc ha detto...
Questo commento è stato eliminato dall'autore.
pgc ha detto...

Emanuel_e,

si, hai ragione, non ci avevo pensato: se il computer vede la USB key come un HID (Human Interface Device) gli consente di fare praticamente quello che vuole. Quindi più che "ni" direi "decisamente no".

C'è da dire comunque, che se ho capito bene si può riprogrammare un computer (almeno con linux) in modo da non consentire l'accesso a USB HID, ma non ho mai provato.

Di sicuro. questa funzionalità delle porte USB è un bel problema per la sicurezza... Come ha suggerito qualcuno una soluzione potrebbe essere che il computer chieda all'utente di battere una certa sequenza di tasti generata casualmente e mostrata sullo schermo prima di consentire l'accesso a nuovi HID.

rico ha detto...

Virgilio nell'eneide: "Timeo Danaos et dona ferentis", temo i greci e i doni che lasciano, parlando del cavallo di Troia.
Disabilitare l'autoplay, formattare le chiavette appena acquistate, non inserire nemmeno quelle "trovate": se nel firmware è stato inscritto un attacco 0-day non c'è formattazione che tenga (anche se questo tipo di attacco è molto specifico per sistema operativo).
Inquietante la chiavetta-killer segnalata da RunAway: carica dei condensatori e li scarica insieme dopo pochi secondi, la sovratensione frigge la scheda madre del PC.

martinobri ha detto...

"Timeo Danaos et dona ferentis", temo i greci e i doni che lasciano

Meglio: temo i Greci anche quando portano doni.
:-)

Emanuel_e ha detto...

Di sicuro. questa funzionalità delle porte USB è un bel problema per la sicurezza... Come ha suggerito qualcuno una soluzione potrebbe essere che il computer chieda all'utente di battere una certa sequenza di tasti generata casualmente e mostrata sullo schermo prima di consentire l'accesso a nuovi HID

Beh, ma se uno collega una nuova periferica al proprio pc, la motivazione più logica è che tu la voglia utilizzare :-)
La verità è che, quando si ha l'accesso fisico alla macchina, non c'è più sicurezza che tenga. L'unica cosa che può veramente funzionare è l'educazione in ambito informatico.
Come i nostri genitori ci insegnavano a non accettare le caramelle dagli sconosciuti, allo stesso modo la gente deve essere formata su come non accettare alla cieca gli allegati delle e-mail o le "caramelle" USB trovate per strada.

rico ha detto...

Martinobri, dal film "The Rock", nel dialogo tra Connery e Cage: "I fear the Greeks even they bring gifts".
Hai ragione, è Portano e non Lasciano, ma quell' "anche" proprio non c'è, i latini erano gente concisa.
Come nel detto "Gustibus non disputandum est", un latino non avrebbe aggiunto mai quell' "est" ;)

martinobri ha detto...

(tono disteso e conciliatorio)
Due contributi:

Per la traduzione e per il significato di et (al paragrafo Traduzioni).


Il Lupo della Luna ha detto...

No ma mi state dicendo che c'è gente che davvero usa i dead drop?

Ma tornando a noi, che io sappia ci sono modelli di PC in cui si possono disabilitare le porte usb. Ma ovviamente non è una soluzione.

pgc ha detto...

si Emanuel, ma visto che esiste questa evidente falla nello standard USB, quell'idea non sarebbe malvagia. O no?

pgc ha detto...
Questo commento è stato eliminato dall'autore.
Il Lupo della Luna ha detto...

PGC: problema, il computer non ha modo di capire se la periferica viene collegata in questo momento o lo è già al momento del boot. Perché il sistema di sicurezza funzioni devo inserire la combinazione di tasti (diciamo tipo un PIN) ogni volta che il computer attiva una periferica, sia che venga collegata in quel momento, sia se già presente a pc spento, altrimenti non serve.
Quindi: come faccio a digitare una sequenza di tasti senza una tastiera?

Il Lupo della Luna ha detto...

Mi direte: beh, la digito sul dispositivo che inserisco e POI lo posso usare. Certo, ma per farlo il PC deve comunicare in modo bidirezionale col dispositivo (e se è modificato può benissimo introdurre una sequenza "finta"). Quindi no, non esiste modo. Peccato.

rico ha detto...

Per maggiore sicurezza con le chiavette.
Su Linux (Ubuntu & Mint) si può aprire il File Manager -> modifica -> preferenze -> supporti -> togliere la spunta a "esplorare supporti quando inseriti".
Su windows ci si può affidare a programmi di terze parti, USB disabler, USB Manager, Panda usb vaccine, oppure manovrare dal pannello di controllo. Ma "chissene", è come togliere il raffreddore da una polmonite.

Guido Pisano ha detto...

guarda me ne sono trovata una tra i piedi l'altro giorno, ho pensato a cosa sarebbe potuto succedere, non avevo un computer "sacrificale" in mano per cui l'ho lasciata li'...
@fakoll
volendo anche il firmare e' infettabile (vedi per esempio il keylogger che e' stato installato nelle tastiere del mac)
quindi anche se hai una macchina "sacrificabile" quella chiavetta non e' mai sicura al 100% e come ha fatto notare Lupo considerato il costo il gioco non vale la candela... Al massimo se lo fai e' per vedere cosa c'e' dentro :)

Guido Pisano ha detto...

@PhotosTeon
si ma li' la volpata e' stata tripla
1) usavano windows
2) il volpone ha attaccato la chiavetta infetta su un computer aziendale
3) non c'e' un punto 3

Guido Pisano ha detto...

@Lupo
le porte usb le puoi disabilitare dal BIOS ma non mi pare una buona soluzione, considerato che ormai tutto viaggia su usb... e considerato che questo non fermerebbe un eventuale aggressore, ti impedisce solo di usare una chiavetta usb come veicolo di infezione. In tal caso meglio educare l'utente... E non usare un S/O vulnerabile ;)

pgc ha detto...

Lupo,
forse sono io che non capisco quello che dici ma le cose mi sembra stiano in modo diverso.

I dispositivi di cui parliamo sono chiamati HID, e sono una classe a parte.

Se ne inserisci uno in una porta USB DEVE essere una interfaccia umana, e quindi DEVE consentire di inserire dei dati (o, per esempio, di cliccare sullo schermo una certa sequenza). All'inserimento l'O/S interroga il dispositivo: se è HID (altrimenti non è in grado di interagire) gli chiede di copiare una sequenza di lettere che appare su uno schermo.

Se è una tastiera riprogrammata da HID, l'utente se ne rende conto subito e non è in grado di copiare la sequenza.

Certamente ci può essere il caso specifico di una tastiera usb senza che ci sia uno schermo (per esempio per inserire una chiave) ma francamente penso sarebbe meglio precludere un uso marginale che esporre i computer a rischi del genere. Giocoforza molta gente si trova a dover condividere chiavette USB (a me per lavoro succede spesso) e l'idea di dover rinunciare del tutto a questo utile dispositivo di memoria a causa di un errore nel definire uno standard mi sembra bizzarra...

pgc ha detto...

Lupo fa giustamente notare che comunque il canale deve essere aperto.

Vero, ma il problema della riprogrammazione del firmware è che tenta di eseguire uno script. Se l'O/S intercetta tutto quello che viene dal dispositivo e PRIMA DI ESEGUIRLO verifica che l'HID sia genuino, il problema mi sembrerebbe risolto.

Il Lupo della Luna ha detto...

Si ma il PC non può capire se l'input dalla periferica é reale (io che scrivo) o simulato. Non solo, ma per avere un controllo efficace dovrei digitare il codice anche quando accendo il PC, cosa che mi pare molto scomoda.

Sul fatto di "aprire" nel file manager la chiavetta mi pare che sia un rischio minimo, basta disattivare l'esecuzione automatica (Windows lo chiama autorun) che non c'entra con visualizzare i file sulla chiavetta. I problemi sono a livello più basso.

Emanuel_e ha detto...

Vero, ma il problema della riprogrammazione del firmware è che tenta di eseguire uno script. Se l'O/S intercetta tutto quello che viene dal dispositivo e PRIMA DI ESEGUIRLO verifica che l'HID sia genuino, il problema mi sembrerebbe risolto.

Eh no. Il computer non riceve uno script da eseguire. Vede solo una tastiera USB che invia determinati comandi.
Che questi ultimi facciano parte di uno script, il pc non ne ha idea, dal momento che il tutto viene eseguito internamente al firmware del dispositivo USB stesso.

Guido Pisano ha detto...

@pgc
per avere la certezza che il sw sia "genuino" dovresti avere dei certificati di autenticita' e un controllo sull'hardware. Ti dice niente il nome palladium?

pgc ha detto...
Questo commento è stato eliminato dall'autore.
Guastulfo (Giuseppe) ha detto...

Windows, durante la rilevazione del nuovo hardware ti dice cosa ha trovato.
Se, inserendo un chiavetta usb, avvisa che sta installando una periferica HID si può agire subito togliendo la chiavetta prima che possa installarsi e far danno.

Il problema è che praticamente nessuno va a guardare i dettagli durante la rilevazione del nuovo hardware. Io lo faccio per curiosità ma, francamente, non è detto che farei caso a un avviso del genere.

E se si tornasse a delle porte specifiche per mouse e tastiere? :-)

pgc ha detto...

Continua a sembrarmi evidente che il problema che una memoria si possa presentare come tastiera senza che l'operatore se ne renda conto sia di fondo, ma risolvibile FORSE attraverso un semplice check da parte dell'operatore. Se avessi modo (ma lo standard USB è veramente complesso) cercherei di realizzare uno script che se identifica un dispositivo di classe HID (una delle 4 disponibili) appena connesso al mio laptop mi chieda: "Hai inserito una dispositivo HID ad una porta USB del computer? Per abilitarlo, batti questa sequenza: [segue sequenza alfanumerica random]". E' analogo al sistema che si usa per esempio per i dispositivi bluetooth o Airport per verificare la veridicità di una richiesta di connessione. Niente di più e niente di meno.

Il problema degli autorun, che possono essere disabilitati facilmente, poco ha a che fare col problema segnalato nell'articolo.

Smetto qui per evitare di ripetermi, almeno fino a che qualcuno non tirerà fuori un argomento contrario che mi sembri convincente. Può essere che mi sfugga un punto fondamentale, e vi leggerò senz'altro. Niente polemiche, intendiamoci, ma semplicemente differenti valutazioni.

saluti a tutti

Il Lupo della Luna ha detto...

Banalmente il Pin del bluetooth viene inserito tramite un altro device rispetto a quello che stai connettendo, difatti le tastiere bt non mi pare chiedano nulla se non mi sbaglio

Guastulfo (Giuseppe) ha detto...

@pgc
. Se avessi modo (ma lo standard USB è veramente complesso) cercherei di realizzare uno script che se identifica un dispositivo di classe HID (una delle 4 disponibili) appena connesso al mio laptop mi chieda: "Hai inserito una dispositivo HID ad una porta USB del computer? Per abilitarlo, batti questa sequenza: [segue sequenza alfanumerica random]".

Se la periferica HID inserita è la nuova tastiera USB comprata perché la vecchia non funziona più, come inserisci la sequenza random?
:-)

Unknown ha detto...

la citazione esatta è "Timeo Danaos et dona ferentes"
ferentes concorda con l'accusativo plurale Danaos
ferentis sarebbe genitivo singolare di ferens, participio presente di fero,fers, tuli, latum, ferre
Ricordi di Liceo Ginnasio.....

pgc ha detto...

Guastulfo,

se è una tastiera, attraverso la tastiera stessa. Se il codice che inserisci per primo è quello giusto, bene: la tastiera sarà abilitata. Se non lo è (ed è per esempio un messaggio che cerca di scaricare del malware) la tastiera non viene abilitata in quanto il codice è errato.

Se non è una tastiera... la cosa mi darebbe la prova che la periferica contiene il badusb e non mi resterebbe che rimuoverla dalla porta, avvisando il proprietario.

Nota che in quanto il computer è in attesa del codice giusto, non potrà fare altro che aspettare la risposta, esattamente come accade quando rimane una finestra di input (es. "vuoi salvare questo documento? Si/No") il pc non riesce nemmeno a fare un reboot.

Il problema semmai potrebbe essere che il sistema HID potrebbe NON essere una tastiera (per esempio un lettore di codici a barre, o un mouse), ma in quel caso, se è un computer ha necessariamente una tastiera, se non lo è, a me quello che interessa è non rischiare che qualcuno mi debba dare una chiavetta per trasferire un file importante ad un convegno che in realtà nasconde del malware BadUsb nel firmware, senza che magari il proprietario lo sapesse.

Guastulfo (Giuseppe) ha detto...

@pgc
se è una tastiera, attraverso la tastiera stessa. Se il codice che inserisci per primo è quello giusto, bene: la tastiera sarà abilitata. Se non lo è (ed è per esempio un messaggio che cerca di scaricare del malware) la tastiera non viene abilitata in quanto il codice è errato.

Non credo che risolva il problema: il firmware malevolo potrebbe comunque agire successivamente all'abilitazione della periferica.

Nota che in quanto il computer è in attesa del codice giusto, non potrà fare altro che aspettare la risposta, esattamente come accade quando rimane una finestra di input (es. "vuoi salvare questo documento? Si/No") il pc non riesce nemmeno a fare un reboot.

Questo non è vero: è solo l'applicazione che resta ferma in attesa di input; il sistema operativo continua a lavorare. Infatti, in alcuni casi, se si preme la combinazione ALT+TAB si può passare tranquillamente a un'altra applicazione e lasciare in attesa di input la prima.

Comunque penso che il S.O. potrebbe essere settato per "congelarsi" in attesa del codice ma questo comporterebbe altri problemi.
Infatti, andrebbe tutto liscio se si inserisse la chiavetta mentre il computer è inattivo (col desktop visibile) ma se stesse girando un programma le cose si complicherebbero: il programma potrebbe non essere per nulla d'accordo a fermarsi e dare il controllo dello schermo e della tastiera al sistema operativo per inserire un codice. Protrebbe generarsi un errore.

L'ho detto un po' scherzando nel commento #36, ma forse davvero la soluzione migliore potrebbe essere dedicare porte apposite per le periferiche HID o tornare a qualcosa di simile alle porte tonde per tastiera (si chiamavano PS2 o quella è la Play Station 2? :-) ) anche se, magari, aggiornate tecnologicamente.

Guido Pisano ha detto...

@Guastulfo
il problema e' che le usb sono tremendamente piu' flessibili, ci puoi attaccare di tutto, non solo mouse e tastiera ma qualsiasi componente e questo ti evita di avere un gazilione di porte dedicate ad uno scopo specifico inutilizzate.

pgc ha detto...

"Non credo che risolva il problema: il firmware malevolo potrebbe comunque agire successivamente all'abilitazione della periferica."

Guastulfo, accetto e anzi invito a fare obiezioni, però cerchiamo di non fare obiezioni per il gusto di farle...

Se NON è una tastiera, ma è una memoria USB che vuole fare la tastiera, che è il problema delle memorie con il firmware badusb trattato in questo articolo di Paolo, per attivare il malware DEVE farsi passare per HID, altrimenti non sarebbe abilitata a funzionare da tastiera. Se lo è, chiaramente l'operatore vedrebbe il messaggio comparire sullo schermo e direbbe "come mai una memoria USB mi chiede di funzionare come HID???". Il problema è la CLASSE del dispositivo, che ha un identificativo preciso che permette di bypassare le protezioni del sistema operativo.

La cosa preoccupante è che questo firmware può essere praticamente installato in casa. Basta procurarsi la chiavetta giusta, che abbia un firmware Phison 2203: http://null-byte.wonderhowto.com/how-to/make-your-own-bad-usb-0165419/.

Guido Pisano ha detto...

inoltre non ti risolve il problema, nel senso il firmware alterato puo' sempre esistere, e veicolare virus sara' sempre possibile (perche' comunque in qualche modo file da un computer all'altro li devi lo stesso trasferire)

Guastulfo (Giuseppe) ha detto...

@pgc
Guastulfo, accetto e anzi invito a fare obiezioni, però cerchiamo di non fare obiezioni per il gusto di farle...

Ehm... sì, mi ero dimenticato che il blocco lo applicheresti solo per le periferiche HID. Sorry.

Si dovrebbe anche implementare anche un numero massimo di tentativi per inserire il pin corretto.
Superati, ad esempio, cinque tentativi la periferica andrebbe rimossa e ricollegata per attivarla. Questo per evitare gli attacchi di forza bruta.

Resta comunque il fatto che la tastiera stessa può avere un firmware modificato.

Secondo me difficilmente simili attacchi sarebbero orientati verso la gente comune perché ci sono dei costi da sostenere (per avere un ritorno economico quante chiavette si dovrebbero abbandonare?).

Le aziende con segreti industriali da difendere proibiscono l'uso di chiavette, CD e qualsiasi strumento in grado di immagazzinare dati e trasferirli all'esterno.
Ciò rende questo tipo di attacchi piuttosto difficili da realizzare.

Penso che, in questi casi, l'alterazione del firmware di una tastiera potrebbe essere più efficace. O anche la "modifica" di periferiche "insospettabili".

Mi ricordo (ma potrei sbagliarmi) di aver sentito di stampanti modificate che servirono per mandare in tilt la contraerea nella prima guerra in Iraq.

pgc ha detto...

Guido,

Si ma quello è un problema da antivirus. Nulla a che fare con questo.

pgc ha detto...

Guido,

Si ma quello è un problema da antivirus. Nulla a che fare con questo.

Guido Pisano ha detto...

@pgc
Si ma quello è un problema da antivirus. Nulla a che fare con questo.
intendi una chiavetta usb che si fa passare da tastiera? Molto spesso l'operatore non li vede i messaggi e non controlla cosa sta installando il sistema operativo, almeno su winzozz 7 che ho a lavoro e' cosi', tu attacchi una tastiera che il s/o non ha mai visto e quello ti macina una decina di minuti in background, devi andare a vedere te non hai nessun alert... Di conseguenza un operatore "normale" semplicemente si chiedera' come mai ci mette cosi' tanto a vedergli la chiavetta.
se invece il keylogger lo installi alterando il firmware di qualcosa non e' un problema di usb...