Alfonso Maruccia

USBdriveby, il figlio di BadUSB per attaccare OS X

Con una spesa modica Ŕ possibile procurarsi un dispositivo in grado di compromettere un sistema operativo per computer, nel caso specifico Mac OS X. La vulnerabilitÓ alla base dell'attacco Ŕ quella giÓ nota da tempo

Roma - C'era una volta BadUSB, la vulnerabilità nel protocollo USB che è possibile sfruttare per compromettere PC e dispositivi "sbloccati" emulando mouse e tastiera con un firmware taroccato. Oggi invece c'è USBdriveby, un dongle amatoriale che sfrutta la falla suddetta per compromettere seriamente il sistema operativo dei PC Mac.


USBdriveby è in sostanza un microcontroller "sgusciato" con una forma molto simile a una chiavetta Flash, un dispositivo dal costo di 20 dollari che una volta inserito nella porta USB di un Mac è in grado di compiere svariate azioni malevole simulando mouse e tastiera con relativi comandi, movimenti del puntatore e click "armati" sulle finestre di dialogo mostrate su schermo.

Gli sviluppatori spiegano che il microcontroller low-cost è in grado di aprire una backdoor permanente, disabilitare il firewall di sistema, tenere sotto controllo il traffico di rete, e il tutto in pochi secondi dopo l'inserimento nella porta USB. Gli effetti dell'attacco sono permanenti anche una volta estratto il dispositivo.
USBdriveby è pensato per girare su sistemi Mac ma il firmware è facilmente riprogrammabile per attaccare anche i sistemi operativi Windows o Linux, spiegano i suoi creatori, sebbene le azioni malevole eseguibili con il dongle dovrebbero essere meno distruttive di quelle possibili tramite BadUSB.

Alfonso Maruccia
Notizie collegate
  • SicurezzaBadUSB è fuori dalla gabbiaL'attacco "irreparabile" per i dispositivi USB si fa ora pi¨ pericoloso con la distribuzione open source del codice proof-of-concept: secondo i ricercatori dovrebbe spingere i produttori a rabberciare la falla
25 Commenti alla Notizia USBdriveby, il figlio di BadUSB per attaccare OS X
Ordina
  • Queste cose le ho fatte nel 2009 con un Pic18F2550
    http://www.grix.it/viewer.php?page=6484
    non+autenticato
  • Hai un computer?
    Se il tuo computer è in un posto di "passaggio" basta avere le porte USB disabilitate. Queste le riabiliti solo quando servono a te!
    - Il problema non esiste.

    Se non sei un imbranato totale avrai una immagine del tuo hardisk dopo l'installazione (a meno che non hai un cazz* da fare tutto il giorno e sei fortunato se qualcuno ti paga e la tua attività giornaliera consiste solo nel girovagare con una chiavetta in mano e reinstallare a nastro driver).
    Nel dubbio che alle tue spalle ci sia nascosto un terrorista mediorientale disoccupato che non vede l'ora che tu vada al bagno per inserire la sua chiavetta maggica, fa una semplice cosa ogni volta che ritorni dal cesso o dopo un qualsiasi dubbio fondato o no fai una cosa banale: ripristina l'immagine dello hardisk ed il terrorista mediorientale disoccupato vedrai che sparirà.

    Cose da 1░ aprile.

    Visto il tenore della notizia mi sento legittimato a sparare la mia: il prodotto è di tipo "amatoriale" e anche se hanno cancellato la serigrafia (molto probabilmente sono dei gran mangiatori di pane e volpe) i 2 cippettini dovrebbero essere un HC08 con un controller USB. In giro ci sono alcun condensatori di bypass e tutte le porte non utilizzare di I/O saranno pullappate. Dentro ci sarà un softwarino che gestisce un paio di pipe una rx ed una tx con un pò di codice dentro. (Le consulenze si pagano eh!A bocca apertaA bocca aperta)

    Qui c'è un link ad un kit di base per giocare con queste cazzatine:

    http://www.pemicro.com/products/product_viewDetail...

    è roba antidiluviana, ma è ottima per chi vuole imparare l'ABC dell'elettronica.
    non+autenticato
  • C'è di peggio https://trmm.net/EFI

    Notare l'uso di una vulnerabilità vecchia di due anni, che consente l'installazione del malware nella bootrom
    non+autenticato
  • - Scritto da: collione
    > C'è di peggio https://trmm.net/EFI
    >
    > Notare l'uso di una vulnerabilità vecchia di due
    > anni, che consente l'installazione del malware
    > nella
    > bootrom
    molto fico...!
    non+autenticato
  • Inviterei la redazione, ogniqualvolta si parla di falle di sicurezza od attacchi alla sicurezza in generale, di dare lameno una veloce informazione sul metodo di inoculazione.

    In questo caso avete scritto:
    "una volta inserito nella porta USB"
    quello che avete omesso è che il computer (Mac, Windows o Linux che sia) deve essere acceso, autenticato e sbloccato.
    Vi sembra poco?

    la conseguenza della parte omessa è che per proteggervi basta:
    1) non abbandonare il vostro PC sbloccato (ma va?)
    2) non inserire device USB di dubbia provenienza (ma va?)
    non+autenticato
  • - Scritto da: tucumleio
    ...
    > 1) non abbandonare il vostro PC sbloccato (ma va?)
    > 2) non inserire device USB di dubbia provenienza (ma va?)
    E non fidarsi di chi afferma che i mac sono invulnerabili (ma va?)
    non+autenticato
  • - Scritto da: Zack

    > E non fidarsi di chi afferma che i mac sono
    > invulnerabili (ma
    > va?)

    Forse non ti è chiaro che questa NON è una vulnerabilità.
    La chiavetta fa in automatico quello che un utente può fare a mano, ovvero tutta una serie di operazioni perfettamente lecite col sistema.

    L'unica differenza è che lo fa più velocemente.
    non+autenticato
  • - Scritto da: tucumleio
    > Inviterei la redazione, ogniqualvolta si parla di
    > falle di sicurezza od attacchi alla sicurezza in
    > generale, di dare lameno una veloce informazione
    > sul metodo di
    > inoculazione.
    >
    > In questo caso avete scritto:
    > "una volta inserito nella porta USB"
    > quello che avete omesso è che il computer (Mac,
    > Windows o Linux che sia) deve essere acceso,
    > autenticato e
    > sbloccato
    .
    > Vi sembra poco?
    >
    > la conseguenza della parte omessa è che per
    > proteggervi
    > basta:
    > 1) non abbandonare il vostro PC sbloccato (ma va?)
    > 2) non inserire device USB di dubbia provenienza
    > (ma
    > va?)

    non so se lo hai capito ma:

    1) non serve abbandonarlo ma perderlo d'occhio per qualche secondo

    2)se inserisci device usb di dubbia provenienza non fanno così tanti danni come questo

    3)è estremamente pericoloso sottovalutare questo giocattolo sopratutto perchè compie in pochi secondi quello che un esperto hacker davanti alla tastiera compie in diversi minuti e non serve avere capacità particolare per usarlo, la prossima versione permetterà di replicare le routine anche a computers connessi in rete senza dover inserire il dongle
    non+autenticato
  • - Scritto da: Guerra

    > non so se lo hai capito ma.

    Ho capito perfettamente come funziona: in uno scenario reale il malintenzionato è davanti al mio PC con una chiavetta, io non ci sono e il mio PC è sbloccato. Sto tremando tutto!

    Per non parlare del fatto che chi usa un sistema come utente standard non può cambiare le impostazioni di sistema senza digitare una password e chi usa software di protezione delle risorse di sistema è al sicuro perchè qualsiasi accesso a shell o simili viene bloccato.


    Il device è più pericoloso di un normale USB di dati, ma non funziona magicamente come sembra far intendere l'articolo!
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: Guerra
    >
    > > non so se lo hai capito ma.
    >
    > Ho capito perfettamente come funziona: in uno
    > scenario reale il malintenzionato è davanti al
    > mio PC con una chiavetta, io non ci sono e il mio
    > PC è sbloccato. Sto tremando
    > tutto!

    in uno scenario reale non me ne frega nulla di infettare il tuo computer, preferisco farlo in un applestore e nei centri commerciali o qualche azienda

    >
    > Per non parlare del fatto che chi usa un sistema
    > come utente standard non può cambiare le
    > impostazioni di sistema senza digitare una
    > password e chi usa software di protezione delle
    > risorse di sistema è al sicuro perchè qualsiasi
    > accesso a shell o simili viene
    > bloccato.

    perfino cambiare lo sfondo è una impostazione di sistema e non serve che immetti password

    >
    >
    > Il device è più pericoloso di un normale USB di
    > dati, ma non funziona magicamente come sembra far
    > intendere
    > l'articolo!

    it's magic? no, quello lo racconta apple ai propri fedeli, la magia non c'entra nulla, dipende solo dai permessi che il sistema attribuisce ai device emulati
    non+autenticato
  • - Scritto da: Guerra

    > in uno scenario reale non me ne frega nulla di
    > infettare il tuo computer, preferisco farlo in un
    > applestore

    In un Apple Store si possono scaricare exe da internet e lanciarli? Se sì puoi manomettere il sistema in 10 secondi senza dare nell'occhio infilando una chiavetta USB.
    Se usi la chiavetta USB tanto vale mettere l'exe dentro, lol

    > perfino cambiare lo sfondo è una impostazione di
    > sistema e non serve che immetti
    > password

    rispondere in questa maniera non ti darà ragione: hai capito perfettamente quello che ho scritto, in un sistema usato da utente senza privilegi le impostanzioni necessarie per prenderne possesso non sono disponibili senza autenticazione, non fare il finto tonto.

    > > Il device è più pericoloso di un normale USB di
    > > dati, ma non funziona magicamente come sembra
    > far
    > > intendere
    > > l'articolo!
    >
    > it's magic? no, quello lo racconta apple ai
    > propri fedeli, la magia non c'entra nulla,
    > dipende solo dai permessi che il sistema
    > attribuisce ai device
    > emulati

    Allora sei tu a non avere capito nulla di come funziona.
    Non ci sono 'permessi per i device emulati' in nessuna piattaforma.
    I device che dicono di essere una tastiera SONO una tastiera e possono digitare come tale.
    Continuate a vedere la cosa nell'ottica di una falla, ma non si tratta di una falla, si tratta di un metodo che permette di fare velocemente ed in automatico con l'interfaccia ciò che un utente può fare a mano, ovvero tutta una sequenza di operazioni lecite.
    Se su una console comandi funziona 'rm -R ...' allora funziona sia facendolo a mano sia facendolo con questo metodo USB.
    La colpa è in entrambi i casi di chi ha lasciato incustodito il sistema.
    non+autenticato
  • io ci ho provato a spiegartelo, ma non hai manco capito perchè ti ho scritto dello sfondo, vabbè, pazienza, prova a informarti da solo sul dongle in questione e vedi se è come dici tu
    non+autenticato
  • - Scritto da: Guerra
    > prova a informarti

    Io l'ho fatto, ora tocca a te però.
    Se quando hai finito hai da condividere perle preziose sei il benvenuto.
    non+autenticato
  • - Scritto da: ....
    > - Scritto da: Guerra
    > > prova a informarti
    >
    > Io l'ho fatto, ora tocca a te però.
    > Se quando hai finito hai da condividere perle
    > preziose sei il
    > benvenuto.

    se lo hai fatto perchè mi dici che è una tastiera quando invece nel dongle ci sta solo un controller che fa finta di essere una tastiera?
    non+autenticato
  • - Scritto da: Guerra

    > se lo hai fatto perchè mi dici che è una tastiera
    > quando invece nel dongle ci sta solo un
    > controller che fa finta di essere una
    > tastiera?

    perchè non c'è nessuna differenza tra una tastiera coi tasti ed una tastiera che ha solo il relativo firmware, eccetto la parte fisica di intefaccia umana.
    Quindi, o stai pretendendo che il sistema operativo attivi la webcam per sincerarsi che i tasti ci siano tutti oppure ancora una volta non hai capito come funzionano i device USB, INDIPENDENTEMENTE dal sistema operativo.
    non+autenticato