segurança digital
Sua aparência inocente e nomes adoráveis escondem seus verdadeiros poderes. Esses gadgets foram projetados para ajudar a identificar e prevenir problemas de segurança, mas o que acontece se caírem em mãos erradas?
6 de maio de 2024
•
,
5 minutos.ler
Poderia um objeto aparentemente inócuo disfarçado como um pendrive USB comum, um cabo de carregamento ou um brinquedo de criança ser usado como uma ferramenta para ajudar e encorajar um hack real? Ou isso é apenas um hack?
Existem muitos gadgets geeks populares com nomes adoráveis que oferecem recursos valiosos tanto para hackers amadores quanto para profissionais de segurança. No entanto, muitos desses kits podem ser comparados a uma faca de dois gumes, ajudando a testar a segurança de uma organização e a penetrar nas suas defesas. Alguns deles têm golpes surpreendentemente poderosos e podem deixar de ser uma ferramenta útil para se tornar uma arma em potencial se forem mal utilizados por indivíduos mal-intencionados.
Isto pode acabar por ser motivo de preocupação, pois testemunhei pessoalmente muitas empresas que lutam para implementar uma protecção adequada devido à falta de consciência dos riscos potenciais que existem. Um exemplo é o uso de dispositivos externos desconhecidos em sistemas corporativos, especialmente dispositivos que raramente são suspeitos, como unidades USB. Apresentamos aqui o primeiro par de gadgets que podem acabar causando problemas de segurança.
patinho e coelho
O USB Rubber Ducky e o Bash Bunny do Hak5 parecem unidades flash comuns, mas na verdade são plataformas de ataque USB com alguns recursos sérios. Originalmente projetados para ajudar testadores de penetração e outros profissionais de segurança a automatizar tarefas, esses dispositivos plug-and-play podem causar estragos em apenas alguns minutos.
Por exemplo, o Rubber Ducky pode imitar o comportamento de dispositivos de interface humana (HIDs), como teclados e mouses, e enganar o sistema para que aceite suas entradas como confiáveis. Isso significa que ele pode ser usado para executar comandos maliciosos para coletar credenciais de login, informações financeiras, dados proprietários da empresa e outras informações confidenciais.
Ao fingir ser um teclado, você pode instruir seu computador a visitar um site carregado de malware ou executar uma carga maliciosa, como se isso fosse feito por um hacker sentado em sua mesa. Tudo que você precisa fazer é pré-carregar o Ducky com uma sequência de teclas que executará uma ação específica em seu sistema.
Todas as funcionalidades de script disponíveis no Rubber Ducky também estão disponíveis no Bash Bunny. Portanto, os riscos potenciais associados ao Bash Bunny são semelhantes aos associados ao Rubber Ducky e incluem a instalação de software malicioso e o roubo de informações.
Dito isto, Bash Bunny torna-se ainda mais valioso. Ele mantém a capacidade do Rubber Duckie de se passar por um dispositivo HID confiável, mas se baseia nela adicionando recursos como elevação de privilégios de administrador e extração direta de dados usando armazenamento em cartão MicroSD. Também é otimizado para melhor desempenho.
Além do mais, até mesmo uma unidade de miniatura comum pode ser convertida em um dispositivo USB estilo patinho de borracha ou Bash Bunny e usada para fins maliciosos.
nadadeira zero
Flipper Zero é uma espécie de canivete suíço de hacking, ganhando atenção graças à ampla gama de recursos e tecnologia incluídos em seu formato compacto. Este dispositivo do tamanho da palma da mão é adequado para pegadinhas, hackers amadores e alguns testes de penetração, especialmente quando você precisa testar a segurança de dispositivos sem fio ou sistemas de controle de acesso. Há também vários firmwares gratuitos de terceiros que podem aprimorar ainda mais a funcionalidade.
Por outro lado, o Flipper Zero pode interagir com uma variedade de protocolos e dispositivos de comunicação sem fio, permitindo potencialmente que invasores obtenham acesso não autorizado a áreas restritas ou sistemas confidenciais. Uma combinação de recursos como emulação RFID, funcionalidade NFC, comunicações infravermelhas (IR), Bluetooth e controle de entrada/saída de uso geral (GPIO) permite interagir e operar com uma ampla variedade de sistemas eletrônicos.
Por exemplo, este gadget também pode enviar e receber sinais IR, portanto pode ser usado para controlar dispositivos IR, como TVs e aparelhos de ar condicionado. O mais preocupante é que este gadget pode ser usado para clonar cartões e etiquetas de acesso habilitados para RFID. A menos que estes estejam devidamente protegidos contra clonagem, um invasor poderá usar o Flipper Zero para invadir locais protegidos por fechaduras controladas por RFID. O Flipper Zero também pode imitar um teclado USB e executar scripts de patinhos de borracha pré-configurados para automatizar tarefas e executar ou facilitar ações específicas no ambiente de destino, como extrair dados confidenciais.
Flipper Zero pode ser bonito de se ver, mas dada a sua capacidade de clonar chaveiros, ele recebeu muitas críticas por preocupações de que poderia ser usado para ajudar e encorajar crimes, especialmente roubo de carros (embora, para ser justo, isso). não está isento de sérias limitações). Como resultado, o produto tem estado sob intenso escrutínio de vários governos, com o Canadá considerando uma proibição total e o Brasil suspendendo temporariamente o produto.
oh meu Deus
O cabo O.MG parece discreto, assim como um cabo normal de carregamento de smartphone. Desenvolvido por pesquisadores de segurança. Eu me chamo de “MG” na internet.este cabo foi criado como uma prova de conceito para demonstrar os potenciais riscos de segurança associados aos periféricos USB.
Na verdade, os cabos contêm vários recursos que permitem que sejam explorados para diversas atividades maliciosas. Funciona de forma semelhante ao USB Rubber Ducky e Bash Bunny, executando código pré-configurado e atuando como um keylogger adequado para exfiltração de dados e execução remota de comandos.
Na verdade, o cabo O.MG contém um ponto de acesso Wi-Fi que pode ser controlado através de uma interface web a partir de um dispositivo controlado pelo invasor. Este cabo possui conectores compatíveis com todos os principais tipos de dispositivos, permitindo conectar e configurar dispositivos executando Windows, macOS, Android e iOS. Oh meu Deus.
fique seguro
Embora estas ferramentas tenham sido utilizadas em diversas demonstrações, parece não haver relatos da sua utilização em ataques reais. Ainda assim, é aconselhável aplicar uma combinação de controles técnicos, políticas organizacionais e treinamento de conscientização dos funcionários para proteger sua organização contra dispositivos potencialmente perigosos.
por exemplo:
- As organizações devem aplicar políticas que restrinjam o uso de dispositivos externos, como unidades USB e outros periféricos, e exigir a aprovação de todos os dispositivos externos antes de conectarem-se a sistemas corporativos.
- As medidas de segurança física são igualmente importantes para garantir que indivíduos não autorizados não possam aceder fisicamente ou interferir nos sistemas e dispositivos corporativos.
- Também é importante realizar sessões regulares de treinamento de conscientização de segurança para os funcionários, para educá-los sobre os riscos associados a ataques baseados em USB, como ter cuidado ao conectar unidades USB aleatoriamente.
- Use soluções de segurança que possam detectar e interromper atividades maliciosas iniciadas por gadgets não autorizados e fornecer recursos de controle de dispositivos que permitam aos administradores especificar os tipos de dispositivos que têm permissão para se conectar a sistemas corporativos.
- Certifique-se de que os recursos de execução automática e reprodução automática estejam desativados em todos os sistemas para evitar que cargas maliciosas sejam executadas automaticamente quando um dispositivo externo estiver conectado.
- Em alguns casos, um bloqueador de dados USB, também conhecido como preservativo USB, pode ajudar, retirando os recursos de transferência de dados de uma porta USB e tornando-a apenas para carregamento.
