Blog gratis
Reportar
Editar
¡Crea tu blog!
Compartir
¡Sorpréndeme!
Blog de la Escuela de Educación Secundaria Técnica N 8 de Quilmes
Administrador Prof. Claudio Enrique Alonso Alvite
img
29 de Octubre, 2014    General

El verdadero peligro de BadUSB

En la última BlackHat USA se presentó una técnica de ataque llamada BadUSB que está dando mucho que hablar y que aunque no es totalmente nueva si ha sacado a la luz pública unos riesgos muy importantes para el mundo de la seguridad en relación a los dispositivos USB.

Un ataque de BadUSB consiste básicamente en reprogramar un dispositivo USB de uso común (normalmente un pendrive basado en algún microcontrolador reprogramable cuya arquitectura sea conocida) para que actúe de forma maliciosa.

Usar dispositivos USB para actividades maliciosas ya era una técnica ampliamente conocida, como fue comentado en la propia charla, por ejemplo:
  1. Los ataques de CD-ROM virtual con Autorun mediante un pendrive de tipo USB U3.
  2. Los ataques con teclado malicioso mediante el uso de herramientas de tipo USB Rubber Ducky o Teensy.
Los creadores de BadUSB proponen además de estas, otras tácticas bastante interesantes. Por ejemplo configurar un dispositivo USB para que se comporte como una tarjeta de red Ethernet y asigne por DHCP una nueva puerta de enlace o un nuevo servidor DNS para el equipo y así poder interceptar su tráfico posteriormente.

Todos estos ataques implican por si solos un riesgo para los equipos, pero existen ya múltiples medidas de seguridad para evitarlos.

El propio hecho de reprogramar un dispositivo USB legítimo para que actúe de forma maliciosa tampoco es nuevo, ya en 2013 se presentó una técnica para reprogramar el firmware de una Webcam y deshabilitar la luz que avisa cuando está grabando y además menciona la posibilidad de aprovechar esta actualización de firmware para llevar a cabo otras tareas maliciosas.

Pero extender esta técnica a cualquier dispositivo USB cuyo firmware cuente con capacidad para ser actualizado, es lo que empieza a convertir esta idea en peligrosa.

Y lo que acaba convirtiendo a un ataque BadUSB en algo realmente temible es la posibilidad de utilizar de forma combinada estas técnicas y reprogramar varios dispositivos USB legítimos aparentemente inocuos para convertirlos en un ataque combinado.

Estos ataques además conllevan una serie de dificultades técnicas a la hora de su detección:
  1. La infección es más difícil de detectar en los equipos ya que el dispositivo modificado es algo externo al sistema principal.
  2. Algunos dispositivos USB son portables de forma que pueden ser utilizados para extender la infección.
  3. La infección se mantendrá incluso aunque se formatee el disco duro o se cambie la CPU del equipo.
Algunos dispositivos USB son incluso internos al PC (p.e. la mayoría de webcams, lectores de SD, lectores de smartcard, biométricos que van en los portátiles) y por tanto es más fácil conseguir la persistencia en ellos porque están fijos.

Combinando esta técnica con distintos tipos de dispositivos, podemos encontrar escenarios de ataque bastante serios, como por ejemplo utilizar un pendrive como el vector de entrada inicial para una infección y utilizar algún dispositivo que esté conectado de forma permanente al equipo (por ejemplo una webcam o una impresora) como vector de permanencia de la infección. Por ejemplo: haciendo que el dispositivo detecte cuando el equipo está arrancando para convertirse en un pendrive bootable que cargue una versión modificada del sistema operativo.

Se podría incluso hacer que trabajen en modo anti-forense, si el microcontrolador lo permite, el dispositivo podría pasar a funcionar en su estado original o borrarse a sí mismo una vez conseguida la infección.

Es por tanto probable que en poco tiempo empecemos a ver casos reales del uso combinado de varios dispositivos infectados de este tipo funcionando como implantes, al estilo de los sugeridos en el catálogo ANT de la NSA.

Fuente: S21sec assessment
Palabras claves ,
publicado por alonsoclaudio a las 21:32 · Sin comentarios  ·  Recomendar
 
Más sobre este tema ·  Participar
Comentarios (0) ·  Enviar comentario
Enviar comentario

Nombre:

E-Mail (no será publicado):

Sitio Web (opcional):

Recordar mis datos.
Escriba el código que visualiza en la imagen Escriba el código [Regenerar]:
Formato de texto permitido: <b>Negrita</b>, <i>Cursiva</i>, <u>Subrayado</u>,
<li>· Lista</li>
CALENDARIO
Ver mes anterior Diciembre 2022 Ver mes siguiente
DOLUMAMIJUVISA
123
45678910
11121314151617
18192021222324
25262728293031
BUSCADOR
Blog   Web
TÓPICOS
» General (2606)
NUBE DE TAGS  [?]
SECCIONES
» Inicio
ENLACES
MÁS LEÍDOS
» Analizando el LiveBox 2.1 de Orange
» Cómo espiar WhatsApp
» Cómo usar Metashield protector for Client y por qué utilizarlo
» Detectando tráfico de conexiones HTTP inversas de Meterpreter (Snort)
» Ejecución remota de código arbitrario en OpenSSH
» Ganar dinero con 1.200 Millones de identidades robadas
» Hardware y sus 4 Funcionamientos Basicos y Principales en una Computadora
» Redes de la Deep Web: CJDNS y la Red Hyperboria
» Unidad Central de Procesamiento CPU
» Wassap, la aplicación que permite usar WhatsApp desde la PC
SE COMENTA...
» Cómo espiar WhatsApp
593 Comentarios: Jarlinson mercy, jarlinson mercy, TIFFANY MURRAY, [...] ...
» Qué hacer ante el robo de un teléfono móvil o una tableta
2 Comentarios: best buy security cameras swann, best buy security cameras swann
» Espiando usuarios gracias a la vulnerabilidad en cámaras TRENDnet
1 Comentario: Coin
» Recopilatorio de aplicaciones y sistemas vulnerables para practicar
2 Comentarios: vera rodrigez ...
» SoftPerfect WiFi Guard permite saber quién esta conectado a mi WiFi
2 Comentarios: firdous ...
SOBRE MÍ
FOTO

Prof. Claudio Enrique Alonso Alvite



» Ver perfil

AL MARGEN
Escuela de Educacion Secundaria Tecnica N 8 de Quilmes
(Técnicos en Informática Personal y Profesional)
FULLServices Network | Blogger | Privacidad