Descargar

Periférico USB Hacks


Partes: 1, 2

  1. Introducción
  2. La Curiosidad mato al gato
  3. Hacksaw
  4. SwitchBlade
  5. Conclusión
  6. Referencias

Introducción

De un tiempo a esta parte la proliferación de los dispositivos de almacenamiento USB ha crecido considerablemente, este crecimiento se ve tanto a nivel de la variedad existente, como en el nivel de la funcionalidad que le da un usuario hogareño o corporativo.

De hecho, la tecnología de almacenamiento con interfaz USB, también ha evolucionado para darle al usuario mayores funcionalidades, como es el caso de aquellos que tienen incorporada la tecnología U3. Esta tecnología permite ejecutar directamente desde el dispositivo varias aplicaciones, como por ejemplo, clientes de correo, navegadores de Internet, herramientas de seguridad, herramientas de ofimática y hasta mini – servidores (Web, MySQL y demás).

Por otro lado, reproductores de Mp3, centros multimedia de bolsillo y similares, han elevado la capacidad de almacenamiento a niveles impensados tiempo atrás.

Y es verdad, esto trae más funcionalidad, pero a su vez potencia la ocurrencia de eventos que atenten contra la seguridad de la información.

En este artículo me focalizare en los usos menos conocidos que pueden darse en la mayoría de estos dispositivos. Claro está, dependerá mucho de la función y la tecnología que estos posean o sobre la cual se ejecuten.

Antes de comenzar es bueno aclarar que específicamente me focalizare sobre:

Dispositivos de Almacenamiento USB (Sin tecnología U3)

Dispositivos de Almacenamiento USB (Con Tecnología U3)

Dispositivos USB con funcionalidades adicionales (IPOD)

La Curiosidad mato al gato

Está de más decir que el eslabón más débil de la cadena de seguridad de la información es el factor humano. Pero paradójicamente, si bien esto es sabido, la gran mayoría de las estrategias de seguridad no incluyen la educación hacia los usuarios en temas referentes a esta. Por otro lado, la creatividad aplicada en las técnicas de ataque hace que cualquier nivel de alerta que pudiese tener un usuario, sea insuficiente.

"La curiosidad mato al gato", es un dicho conocido, pero que tiene que ver con esto, Sinceramente mucho. A modo de hacer más amena la lectura de este artículo y con el fin de introducir al tema, les contare una breve historia.

Hace un tiempo atrás, la empresa X decidió lanzar en la organización una fuerte campaña de educación dirigida a los usuarios finales (Security Awareness). Los usuarios de la organización X asistieron a charlas de educación y capacitación sobre los buenos usos de la tecnología, los riesgos que esta esconde, realizaron varios CBT (Computer Base Training) y hasta tienen en sus escritorios una taza con la leyenda "I Love Information Security".

Claro está, la organización X, luego de invertir tiempo y dinero en esto, decidió medir mediante una prueba de penetración con principal foco en la utilización de ingeniería social, el nivel de efectividad que había tenido la educación brindada a los usuarios. Es bien sabido, que en este tipo de pruebas, el usuario no debe conocer de antemano la realización la misma, esto haría que el usuario este más atento a un llamado, correo electrónico o visita sospechosa, por lo que los resultados obtenidos no reflejarían la realidad del estado de situación. Pero en este caso, alguien de la organización X cometió el error de advertir a los usuarios, por lo que estos estaban deseosos de que su teléfono sonara y ante la primer sospecha decir "Disculpe Sr. Yo soy un usuario consiente en lo que refiere a seguridad de la información, no pienso darle información alguna yya mismo procederé a denunciaren mi organización este hecho" .

Los Security Testers, ante este escenario desfavorable, decidieron utilizar una técnica más creativa para intentar obtener información sensible de la organización. Para esto decidieron invertir en la compra de unos cuantos dispositivos de almacenamiento USB con tecnología U3, teniendo en cuenta además, que las estaciones de trabajo de los usuarios tenían instalado como sistema operativo Windows XP SP2, que por defecto tiene la función de auto ejecución habilitada.

Para que el ataque fuese efectivo, colocaron dentro de cada uno de los dispositivos USB con tecnología U3, código que tenía como función primaria capturar las pulsaciones del Teclado (Keylogger), almacenarlas en un archivo de texto y luego enviarlas por correo electrónico a sus destinatarios (Los Security Testers). Ahora lo único que faltaba era que el usuario colocara porsu propia voluntad este dispositivo en la ranura USB de su estación de trabajo y del resto de la tarea se encargaría la tecnología. Pero claro, los usuarios de la organización X eran consientes de los riesgos que esto conlleva. Aunque pensándolo bien, realmente lo eran?….

La estrategia fue sencilla. Ingresar a la empresa y "olvidar", "extraviar", los dispositivos en el salón comedor, en algún pasillo, en el toilette etc., para que algún usuario con "Suerte" los encontrara. gQue piensan Ustedes que hicieron la gran mayoría de los usuarios luego de encontrar el dispositivo?… y si, acertaron. Los colocaron en las estaciones de trabajo para versu contenido y eso fue todo. Trabajo realizado y misión cumplida.

Partes: 1, 2
Página siguiente