• Fecha: Abr 05, 2011
  • Comentarios: no hay comentarios
  • Categorias: Sin categoría

La creatividad de los hackers es cada vez mayor. El avance de la tecnología de igual forma da nuevas herramientas para vulnerar sistemas. Sí, la protección también va a pasos agigantados tras troyanos y técnicas de hacking. Parece una interminable carrera por ver quién puede más o quién se cansa primero.

En MaTTica frecuentemente nos encontramos con más y mejores herramientas con las que tenemos que lidiar y contra las que tenemos que luchar. Cuando hacemos un análisis forense en muchas ocasiones vemos nuevas técnicas que nos llevan a sugerir nuevas medidas de protección a nuestros clientes.

Les exponemos este caso: Conocemos una técnica de vulneración con diversos elementos que bien puede permitir tomar control de un equipo remotamente con una muy simple interacción con el equipo a vulnerar, ya sea con una intrusión directa de escasos segundos o bien de ingeniería social, aún cuando en la máquina objetivo haya instalado algún antivirus.

La puerta de entrada, el puerto USB de la computadora.

La técnica consiste en programar un dispositivo Arduino para emular un teclado. La emulación va seguida de un script particular para el sistema operativo del equipo de la víctima. El script abrirá una sesión del navegador, por ejemplo Internet Explorer, abrirá un URL y aceptará la descarga e instalación de un sistema de administración remota, por ejemplo un VNC server modificado. La infección se hace en forma automática y casi transparente con sólo conectar el Arduino al puerto USB de la computadora.

La enorme ventaja para un hacker en este tipo de exploit es el hecho de que el USB no se reconocerá como unidad de disco, por lo que no se bloqueará por software que deshabilita el uso de memorias USB, y desde luego al no asignarse letra de unidad tampocó será detectado o detenido por un antivirus o antimalware. Es como si se conectara un teclado y se empezara a teclear.

El hacker puede conectar el dispositivo al equipo o bien invitar al usuario a hacerlo, so pretexto de que se le mostrará fotos, o una presentación, o…  Al final, simplemente se verá que «no reconoció la computadora la memoria», se retirará y el usuario no sabrá que su equipo fue infectado.

El tema nos lleva a definir la necesidad de deshabilitar no sólo el uso de puertos USB para memorias tipo pendrive, sino deshabilitarlos completamente, o incluso desconectarlos físicamente del motherboard de ser posible. El problema surge cuando el atacante desconecta físicamente el teclado o mouse del puerto USB, conecta el dispositivo y reconecta después el teclado.

¿Qué opinan? ¿Qué otras medidas de protección sugieren para este escenario?

Compartir:

No Comments Yet.

Deja un comentario

Your email address will not be published.