« Eliminar la conexión de los móviles
Algunas impresoras también firman los documentos »

Ataque al sistema mediante un dispositivo USB

Esta vez os presento un delicado ataque de robo de información personal del cual espero estéis avisados porque es realmente efectivo y está causando bastante daño incluso en los entornos empresariales.
El método consiste en dejar en un sitio cuidadosamente elegido un USB de forma que la víctima o posibles víctimas lo encuentren, ej: cerca de su plaza de garaje, en los baños, … Cuando el usuario encuentra el lápiz USB es muy posible que su reacción sea de dejarlo en la recepción o secretaría del centro, pero siempre después de echar un ojo a ver que es lo que hay… ;-)




La víctima se dirige al ordenador y conecta el USB. En caso de trabajar con Windows (los que trabajamos con Linux no tenemos este problema) se ejecutará el asistente de autoarranque como el que vemos en la siguiente imagen, con la característica de que hemos insertado dentro de él una opción diseñada por nosotros.




Como primera opción se puede leer: “Previsualización de las fotos”, a priori no parece nada extraño ya que es una opción muy común. También se especifica “usar el programa proporcionado por el dispositivo”, a mucha gente tampoco le resultará extraño porque ciertos dispositivos como cámaras o lectores MP3 lo hacen, además la vista ya se nos ha ido a la parte de “Previsualización de las fotos” y el usuario no le da la importancia que tiene al resto.
Elige la opción y se ejecuta:


Lo que acaba de activar es la ejecución del programa que yo había incluido en el USB. En este caso he compilado simplemente un mensaje de AVISO, pero podría haber creado un programa que se instalara en el sistema y me fuera mandando los ficheros del usuario, que borrara información o incluso hubiera abierto una puerta trasera de forma que yo pudiera entrar a mi antojo para robar documentos nuevos, como método de espionaje industrial.

Para crear una opción como la que se veía en el menu simplemente hay que generar un script llamado “autorun.inf”. En el ejemplo es:

[autorun]
icon=apeiron.exe
open=apeiron.exe
action=Previsualización de las fotos
label=Previsualización de las fotos
shell\open\command=apeiron.exe
shell\open=Previsualización de las fotos

Lógicamente también tenemos que generar el programa a ejecutar, en nuestro caso “apeiron.exe” de la forma que os sea más cómoda. Eso sí si tenéis que añadir enlaces dinámicos a librerías es mejor que las incluyáis en una carpeta junto al ejecutable, aunque es mejor crearlo mediante compilación estática y que todo el código quede dentro de él.

Este ataque si que es verdaderamente un “Caballo de Troya”, porque es el mismo usuario el que lo lleva dentro de su “espacio digital” y lo ejecuta.

Cada día que pasa me doy cuenta de que la ingeniería social es mucho más poderosa que cualquier compleja herramienta del mundo digital.

Esta entrada fue enviada el Friday, 19 de January de 2007 a las 9:24 pm y está archivada bajo Privacidad, Hardware. Puedes seguir las respuestas a esta entrada a través de la fuente RSS 2.0. Puedes dejar una respuesta, o trackback desde tu propia página.

6 Respuestas a “Ataque al sistema mediante un dispositivo USB”

  1. teskmon Dice:
    19 de January de 2007 a las 10:45 pm

    Es un problema de seguridad presente desde hace muchos años y no está ligado estrictamente a los lapices USB.

    Cualquier usuario de Windows está acostumbrado a introducir un CD de instalación de una aplicación o un CD de un juego y que automáticamente se ejecute el programa de instalación o el juego en cuestión. Y donde digo automáticamente es en efecto así sin pasar por ninguna lista de opciones (por lo menos en algunas versiones de Windows).

    En todos los casos se produce el efecto mediante la incorporación del fichero autorun.inf

    E incluso en los Windows 98 con alguna otra técnica uno era capaz de que se ejecutara un programa con tan sólo intentar leer el contenido de un disquete. O al leer el contenido de una carpeta descomprimida de un ZIP.

    La explotación de vulnerabilidades en Windows es amplia y extensa y da para largo entretenimiento.

  2. David Dice:
    19 de January de 2007 a las 11:14 pm

    Lo nuevo no es la idea sino el soporte. Los dispositivos USB están destinados a información personal y ampliamente extendidos ahora ya que permiten la reescritura en las memorias flash internas. La gente nunca iba con los CD’s grabados a todas partes y hoy en día el lápiz USB se lleva hasta en el llavero. Es algo mucho más común y confiable.

    Además tienen un precio mucho más alto que el de los CD’s por lo que siempre lo cogerán del suelo y se lo llevarán.
    La idea va mucho más allá de un ataque sobre windows por el autorun. ;-)

  3. Pablo Dice:
    20 de January de 2007 a las 12:26 pm

    Como tu mismo has dicho es más un problema social que tecnológico. Hay que reaprender la frase de “no cogas nada del suelo” e introducirla en el ámbito técnico. Realmente, el usuario es la entrada más vulnerable a un equipo informático. Tendrian que inventar firewalls para los propios usuarios.

  4. pixel Dice:
    29 de January de 2007 a las 6:45 pm

    deberias ver lo que hacen ya no con los lapices usb pero si con las etiquetas de algunos productos estas etiquetas llevan un chip ligado a una antenna de frecuencia que cualquiera puede rastrear con el equipo apropiado que tampoco excederia la cifra de 10000 euros lo cual te da una pauta de a donde vamos

  5. Daniel Dice:
    30 de January de 2007 a las 11:10 am

    Yo creo que el mismo efecto (aunque más barato) podría causar el “olvidarse ” un cd con el rótulo de “desmadre casa laura”. ¿Quien se resistiría a fisgonear en él? Y por el precio de un USB, podemos hacer docenas de copias del CD. El problema no es ese.

    A pesar de todos los fallos de seguridad de Windows (y que conste que yo uso Ubuntu), con un buen antivirus actualizado (que tambien monitorice la modificación del registro), un cortafuegos y el router, suele ser muy difícil que un troyano se te cuele. Tiene que ser mu tonto el que ejecute el cd o el USB para darle paso en en el cortafuegos y el router, y tener suerte de que el antivirus no salte al encontrarse el troyano de marras.

    De todos modos, siempre habrá el que no tenga antivirus, ni cortafuegos, que use un modem casposo y claro, ahí ancha es Castilla.

  6. teskmon Dice:
    30 de January de 2007 a las 11:51 am

    Yo creo que el mismo efecto (aunque más barato) podría causar el “olvidarse ” un cd con el rótulo de “desmadre casa laura”

    Iba a responder lo mismo pero lo aplacé y mi memoria para más de dos días no da :-D .

    Pero la conclusión que se saca en todos los casos es que contra el desconocimiento de los usuarios no hay remedio.

    La mayoría sabe que existe el problema de la seguridad e instala un antivirus y/o un cortafuegos con la esperanza de que con ello esté todo resuelto. Pero muchos desconocen como mantenerlos o configurarlos porque no quieren dedicarle a esa tarea más de lo que cuesta la instalación. Cuando usan la tecnología la quieren para hacer esto y lo otro y si se estropea por un virus ya se formateará (esto lo tienen asumido).

    Por muchas herramientas que pongas a disposición del usuario si no existe un mínimo de educación tecnológica es imposible.

Deja una Respuesta

IMPORTANTE : ANTES DE ENVIAR EL COMENTARIO COPIALO EN EL PORTAPAPELES DE FORMA QUE EN CASO DE QUE NO ACERTARAS CON LA SECUENCIA DE SEGURIDAD PUDIERAS VOLVER ENVIARLO USANDO LA COPIA

This is a captcha-picture. It is used to prevent mass-access by robots. (see: www.captcha.net)

Debes leer y teclear los 5 caracteres entre 0..9 y A..F, y enviar la respuesta.

  

No puedo leer esto. Por favor, generar un