Portada
mis comunidades
otras secciones
#1:
El acuario llevaba un caballito de troya de mar.
#17:
atacar cualquier empresa... pendrive de 32GB con troyano y fotografías de tías buenas... y se lo echa delante de los directivos en el aparcamiento cuando bajen por la mañana de sus coches
- ostias un pendrive ... ¿de quien será?.... ¡¡coñ* si es de 32GB!!
y no va a esperar hasta las 6 de la tarde ara probarlo en su casa .. ira directamente al ordenador del trabajo, .. y lo mejor .. lo usará cuando nade lo vea ... asegurado, y te ahorra la filtración en el edificio para que salten las alarmas
- ostias un pendrive ... ¿de quien será?.... ¡¡coñ* si es de 32GB!!
y no va a esperar hasta las 6 de la tarde ara probarlo en su casa .. ira directamente al ordenador del trabajo, .. y lo mejor .. lo usará cuando nade lo vea ... asegurado, y te ahorra la filtración en el edificio para que salten las alarmas
#3:
Un buen articulo. Relatan con bastante sencillez y de forma comprensible una tarea que tiene pinta de haber sido extremadamente compleja. Y sobre todo, da unas conclusiones fáciles de entender.
Buen trabajo.
Buen trabajo.
#34:
#31 #32 cuidado, no nos fiemos que no es tan fácil. Si tiene conexión USB, puede hacer lo que quiera. No se trata de que ejecute algo desde el USB, se trata de que el USB puede decirle al sistema operativo que es cualquier cosa, incluso un HUB con varios aparatos USB. Por ejemplo unos cascos USB, que cojan copia de el sonido del sistema. Por ejemplo una segunda pantalla, que por defecto cogeria copia de la pantalla principal. Hasta un disco duro y un puñetero teclado; si le apetece. Si pinchas en un GNU/Linux un teclado que tiene ya la lista de comandos preparada para montar un disco (que venga en el mismo aparato) y lanzar un script, ya esta dentro... http://arstechnica.com/security/2014/07/this-thumbdrive-hacks-computers-badusb-exploit-makes-devices-turn-evil/
Al final el asunto se resume en: Si va por USB, piensa en el gadget como si fuese una jeringuilla... y ahora imagínate que te rodeas de yonkis. Hacedme caso, que se de lo que hablo.
Al final el asunto se resume en: Si va por USB, piensa en el gadget como si fuese una jeringuilla... y ahora imagínate que te rodeas de yonkis. Hacedme caso, que se de lo que hablo.
#50:
#38 Bueno, en Linux sería cosa de minutos tocar el UDEV para que aceptara determinados dispositivos en función de su número de serie. O sea que no podrías ni siquiera cambiar de teclado sin que un administrador lo aprobara. Pero estoy seguro de que provocaría tantos inconvenientes que los mismso jefes pedirían que se eliminara esa restricción. Entonces el responsable de seguridad explicaría que es peligroso, pero los jefes harían valer su autoridad para ordenarle que quite la restricción.
#15:
Este artículo es un poco espoiler, yo recomendaría empezar por el primero de la serie: http://www.securityartwork.es/2015/01/22/zen-y-el-arte-de-pescar-apts-1/
#20:
El artículo es un breve resumen, muy bueno. la realidad son horas y horas (y deshoras) de un buen trabajo muy metódico y ordenado. Sólo un defecto: si entrando en el despacho ya mencionan el mini-acuario... Para mi es sospechoso todo aquello que le sobresalga un conector USB, y más si es un bocata de calamares. Es más incluso hay que sospechar de un simple cable USB cuyo conector es algo gordito. A mí me ha pasado en una familia con todos los miembros muy de los gadgets USB, por más que les limpiaba equipos, memorias de cámara, tarjetas, etc. siempre aparecía uno nuevo del que nadie se acordaba... pero lo conectaban y otra vez a bailar.
Otra conclusión: el agujero ha sido tapiado, pero los malos han ganado. Otra vez.
Otra conclusión: el agujero ha sido tapiado, pero los malos han ganado. Otra vez.
#48:
#42 No, no estamos hablando de conectar otro ordenador por el USB. Leete la noticia otra vez.
Estamos hablando de que un aparato que se conecta por USB puede usar todo el estandar. Puede decir que es cualquier otro aparato. Incluso que es un grupo de aparatos (HUB USB + x dispositivos virtuales... pero que el sistema operativo no sabe que lo son). A partir de ahí, ¿que puedes pinchar a un ordenador por USB para liarla? Muchas cosas...
Estamos hablando de que un aparato que se conecta por USB puede usar todo el estandar. Puede decir que es cualquier otro aparato. Incluso que es un grupo de aparatos (HUB USB + x dispositivos virtuales... pero que el sistema operativo no sabe que lo son). A partir de ahí, ¿que puedes pinchar a un ordenador por USB para liarla? Muchas cosas...
#10:
Vaya mierda de acuario usb. Me quedo con este más realista: https://www.youtube.com/watch?v=6fxW0dW14iw
Comentarios
El acuario llevaba un caballito de troya de mar.
#1 Me parto de risa con tu ingenioso chiste, colega. No sé qué haces aquí en vez de subido a un escenario.
#2 No seas aguafiestas
#2 hey...
#2 a mi si me ha hecho risa
#2 http://archives.dailynews.lk/2010/12/27/z_p06-learn1.jpg
#2 ¿Tienes envidia? Tranquilo, que con tus comentarios yo por lo menos también me parto de la risa.
#2 Menos mal que llegaste tú para animar la fiesta.
Un buen articulo. Relatan con bastante sencillez y de forma comprensible una tarea que tiene pinta de haber sido extremadamente compleja. Y sobre todo, da unas conclusiones fáciles de entender.
Buen trabajo.
#3 y todas las partes (I, II, III y IV) dan para una película!
atacar cualquier empresa... pendrive de 32GB con troyano y fotografías de tías buenas... y se lo echa delante de los directivos en el aparcamiento cuando bajen por la mañana de sus coches
- ostias un pendrive ... ¿de quien será?.... ¡¡coñ* si es de 32GB!!
y no va a esperar hasta las 6 de la tarde ara probarlo en su casa .. ira directamente al ordenador del trabajo, .. y lo mejor .. lo usará cuando nade lo vea ... asegurado, y te ahorra la filtración en el edificio para que salten las alarmas
#17 Sí, pero ese tipo de cosas disparan las alarmas de los antivirus, antispywares, antimalwares o lo que sea.
Por el contrario, a nadie se le ocurriría pensar que un directivo va a teclear voluntariamente los comandos necesarios para infectar su propio equipo. Este acuario se comportaba como un teclado así que no despertaría sospechas de ningún software. Y probablemente estaría programado para esperar horas antes de activarse y hacer su trabajo.
#35 ni hace falta, con el codigo fuente del troyano le pones dos lineas de codigo y compilas o lo editas en ensamblador. ya con eso da un resultado hash distinto, los antivirus no lo ve, le pones un icono igual a los simbolos de jpg o similar y lo mexclas entre las fotos .. algunas fotos abreran otras no, ni se coscara pasara a la siguiente,
le pone suficientes fotos para que este entretenido un buen rato con fotos de playas vacaciones tias etc.. eso le gusta a los directivos... mientras tanto el troyano abre una comunicacion desde dentro, puedes instalarle cosas tan couriosas como keyloggers, enviadores de configuraciones, incluso con un gusano puedes llegas hasta el centro de todo
y ni se cosca, ni escribe ninguna linea de comando. para cuando se den cuenta tienes en tu poder contraseñas, datos etc..etc..
y si el ejercito de los estados unidos han prohibido los pendrives y las unidades por usb es por que tuvieron problemas y bien gordos
https://www.fayerwayer.com/2008/11/al-ejercito-de-los-estados-unidos-no-le-gustan-los-pendrives/
#57 pero seguro que no han prohibido las peceras alimentadas por USB
#35 t Tal vez se podria poner un filtro bayesiano como el del spam para que detecte que en el ordenador se estan escribiendo cosas que no so propias de l usuario.
.
Incluso podria detectar a otro usuario que este usando ese ordenador.
Luego si directivo va a un cursillo de linux empiezan a saltar alarma
Supongo que lo mas facil es detectar no lanza los comandos de una forma humana sino mas rapida.l
#35 lo que dice #17 es igual de válido. Hay mucho factor humano para que salga bien. Creo que cuando en el post dice: 'El director de marketing hizo el resto.' viene de aquí: (link del post) http://www.labofapenetrationtester.com/2012/04/teensy-usb-hid-for-penetration-testers.html
en el paso 5 cita: '5. Run the the downloaded Serial Installer. You will get a warning as the driver is not signed by MicroSoft. Accept it and continue with the installation.'
No me extraña que le haya dado al continue del cartel de advertencia en rojo...
#81 Según lo que entendí del artículo, el teensy estaba puesto como emulación de teclado. En ese caso no necesita ningún driver de puerto serie. El driver es necesario para programar el dispositivo pero en el funcionamiento normal, si se usa emulando un teclado, lo único que verás en windows será uno de esos carteles de "se ha encontrado hardware nuevo y se está configurando (dispositivo de interfaz humana HID)". E incluso eso se puede evitar si, como decía antes, se hace que el dispositivo espere algunas horas antes de activar la emulación de teclado. De esa forma si por mala suerte alguien está mirando la pantalla en ese momento, no lo relacionará con el acuario. A lo sumo yo pensaría que el cable del teclado o del ratón están flojos.
Vaya mierda de acuario usb. Me quedo con este más realista:
Este artículo es un poco espoiler, yo recomendaría empezar por el primero de la serie: http://www.securityartwork.es/2015/01/22/zen-y-el-arte-de-pescar-apts-1/
#31 #32 cuidado, no nos fiemos que no es tan fácil. Si tiene conexión USB, puede hacer lo que quiera. No se trata de que ejecute algo desde el USB, se trata de que el USB puede decirle al sistema operativo que es cualquier cosa, incluso un HUB con varios aparatos USB. Por ejemplo unos cascos USB, que cojan copia de el sonido del sistema. Por ejemplo una segunda pantalla, que por defecto cogeria copia de la pantalla principal. Hasta un disco duro y un puñetero teclado; si le apetece. Si pinchas en un GNU/Linux un teclado que tiene ya la lista de comandos preparada para montar un disco (que venga en el mismo aparato) y lanzar un script, ya esta dentro... http://arstechnica.com/security/2014/07/this-thumbdrive-hacks-computers-badusb-exploit-makes-devices-turn-evil/
Al final el asunto se resume en: Si va por USB, piensa en el gadget como si fuese una jeringuilla... y ahora imagínate que te rodeas de yonkis. Hacedme caso, que se de lo que hablo.
#34 No, si yo te creo perfectamente. Entiendo que si se lo trabajan un poco pueden liarla también. Estamos hablando de conectar otro ordenador por el puerto USB, y eso no es lo mismo que meter un pendrive.
#42 No, no estamos hablando de conectar otro ordenador por el USB. Leete la noticia otra vez.
Estamos hablando de que un aparato que se conecta por USB puede usar todo el estandar. Puede decir que es cualquier otro aparato. Incluso que es un grupo de aparatos (HUB USB + x dispositivos virtuales... pero que el sistema operativo no sabe que lo son). A partir de ahí, ¿que puedes pinchar a un ordenador por USB para liarla? Muchas cosas...
#34 En un entorno hyperseguro puedes prohibir a los dispositivos USB haciendo listas blancas de ID con UDEV, inutilizando el ataque.
Lanzas un live USB, apuntas el ID por 'lsusb' y los capas con reglas de UDEV.
#48 Na, no es tan facil:
https://projectgus.com/2014/09/blacklisting-a-single-usb-device-from-linux/
#76 vale, vamos por buen camino. Ahora, ¿una manera de desplegar eso en todos los equipos de la empresa, con repositorio centralizado, para gestionarlo desde un solo sitio? ¿Uniendo componente con usuario, para sacar de la whitelist a los usuarios bloqueados (por ejemplo, externos que se marchen de la empresa)? ¿Compatibilidad con estaciones Windows o Mac?
Lo digo totalmente en serio, que soy del gremio y me interesa la jugada, hoyga.
#82 "a gestionarlo desde un solo sitio? "
Puppet, UDEV, scripts... pssh es tu amigo.
"? ¿Uniendo componente con usuario, para sacar de la whitelist a los usuarios bloqueados (por ejemplo, externos que se marchen de la empresa)?
Creo que UDEV solo gestiona grupos, pero tengo que mirar.
EDIT vale, tienes OWNER==
¿Compatibilidad con estaciones Windows o Mac?"
No, a no ser que virtualices.
#83 vale, ya tengo otra frikada que mirar el finde... lo de desautorizar por defecto promete, siempre que tengas un teclado ps2 a mano
Gracias por la nota
#84 O simplemente pon el vendor del teclado USB como permitido.
En mi caso LSUSB me devuelve esto:
Bus 001 Device 003: ID 1241:1503 Belkin Keyboard
Luego es ir tirando con lo permitido. Es un poco coñazo pero por lo menos...
#85 Sería mejor autorizar por número de serie, porque si no se podría llegar a programar el dispositivo para simular esa marca de teclado. Sabiendo cuáles son las medidas de seguridad (y sospecho que en este caso sabrían bastante) podrían saltarlo fácilmente. Incluso sin saber la marca del teclado, el dispositivo podría ir probando diferentes marcas (una o dos por día) hasta lograr ser aceptado.
#85 Nope, si se usa ese método es para tener a los dispositivos controlados uno por uno, e ir dando de baja los que quites. Cualquier otra cosa es una falsa sensación de seguridad. Y déjate si es mejor no dejar ni acceder a ver que id tiene los dispositivos que usas, no sea que te hagan un spoofing en toda regla con un aparatejo que diga tener un id determinado y luego sea otra cosa (los drivers identifican cual es el modulo a cargar ¿según el id, o hay algún tipo de negociación en plan "oye, que driver necesitas tu"?).
Si, soy un paranoico. Deformación profesional...
El artículo es un breve resumen, muy bueno. la realidad son horas y horas (y deshoras) de un buen trabajo muy metódico y ordenado. Sólo un defecto: si entrando en el despacho ya mencionan el mini-acuario... Para mi es sospechoso todo aquello que le sobresalga un conector USB, y más si es un bocata de calamares. Es más incluso hay que sospechar de un simple cable USB cuyo conector es algo gordito. A mí me ha pasado en una familia con todos los miembros muy de los gadgets USB, por más que les limpiaba equipos, memorias de cámara, tarjetas, etc. siempre aparecía uno nuevo del que nadie se acordaba... pero lo conectaban y otra vez a bailar.
Otra conclusión: el agujero ha sido tapiado, pero los malos han ganado. Otra vez.
#20 En Linux no suele ejecutarse el malware con tanta facilidad.
#31,#32 OJO, que soy un firme defensor de Linux, pero contra una intrusión de este tipo yo diría que hay poco que hacer.
Probablemente la tan odiada "fragmentación" ayudaría bastante a que el atacante no supiera bien qué esperar. Pero distribuciones como Ubuntu, que dejan al usuario hacer "sudo" y ejecutar cualquier cosa como root serían un peligro ante un ataque así (recordemos que es un dispositivo que emula un teclado e inyecta quien sabe qué).
Por otro lado, tampoco se trata de un virus que intente invadir una red. Lo único que busca el atacante es robar información y para eso los privilegios del usuario son suficientes.
En realidad aquí vendría bien que las estaciones de trabajo tuvieran una seguridad como la de Android, que aisla cada programa de los demás corriéndolos cada uno con un usuario diferente.
#36: No parece mala idea volver a los ratones y teclados PS/2.
Más que nada porque se podría deshabilitar la existencia de teclados USB en ese ordenador y así evitar que un dispositivo pueda hacerse pasar por un teclado. Y lo mismo para las pantallas o ratones, se pone todo con conexiones más antiguas y se deshabilita.
Lo malo es que los fabricantes de ordenadores no quieren meter conectores PS/2.
#38 Hace unos días me encontré en casa un adaptador de PS/2 a USB que no recuerdo con qué aparato venía, pero creo que con algún ratón que me compré, o incluso con algún teclado inalámbrico, y es una pieza muy pequeña. No se si esto sirve para saltarse esa barrera de la que hablas.
#44 El caso es que con un USB no sabes que función va a hacer, piensas que es para ver una animación y resulta que teclea cosas. Si tienes que enchufarlo al PS2, ya empieza ser sospechoso para que necesita algo necesite simular ser un teclado. Tal vez lo que dice es si logra convencerte de acoplarle un adaptador para conectarlo al PS2.
Seria un poco raro, pero por ejemplo un lector de codigo de barras se conecta ahi, pero seria una cosa y no dos como podira ser teclado y disco usb a la vez, que podria ser util para robar info.
#38 No sería más fácil que saliera una ventana emergente donde avisara de si se detecta un segundo teclado, o segundo ratón... o segundo lo que sea y te permita recordar, aceptar o rechazar.
#47 En Linux se podría implementar fácilmente algo así, pero igual yo no me fiaría de eso. Los usuarios normalmente no leen ese tipo de mensajes. Se limitan a dar al botón de "rechazar", y si vuelve a aparecer le dan a "aceptar" a ver si así deja de salir ese molesto mensaje.
#51 Y además sería una putada derramar el café en el teclado o el ratón, ir corriendo a por otro para poder guardar las 500 páginas de trabajo redactadas y encontrar una ventana emergente que necesita ser aceptada... y tu sin teclado/ratón
#38 Bueno, en Linux sería cosa de minutos tocar el UDEV para que aceptara determinados dispositivos en función de su número de serie. O sea que no podrías ni siquiera cambiar de teclado sin que un administrador lo aprobara. Pero estoy seguro de que provocaría tantos inconvenientes que los mismso jefes pedirían que se eliminara esa restricción. Entonces el responsable de seguridad explicaría que es peligroso, pero los jefes harían valer su autoridad para ordenarle que quite la restricción.
#50: Se compran algunos teclados extra, así si se rompe uno se puede enchufar uno de esos repuestos.
#31 Salvo porque... ¿sabes aquél artículo que explicaba cómo diferenciar Windows, OSX y Linux desde el firmware de un dispositivo USB para lanzar una serie de pulsaciones de teclado diferentes en cada uno... para instalar un troyano diferente en cada uno?
La mayor seguridad de Linux es que te pregunte tu contraseña cada vez que vas a ejecutar algo como root.
Curiosamente...
- la mayor parte de tus documentos no están como root sino como tu usuario
- tu software no se ejecuta como root sino como tu usuario
- cualquier troyano que se ejecute como tu usuario tiene acceso a todo tu software y todos tus documentos
- la mayoría de distribuciones "por comodidad" traen sistemas de auto-montaje de pendrives
- por si todo eso fuera poco, cuanto más se pregunta por la contraseña, más se acostumbra la gente a meterla sin pensar
Se puede hablar mucho de la seguridad de Linux, que bien implementada realmente puede ser mayor que la de Windows o la de OSX. Desgraciadamente, en escritorio son más bien parecidas (tirando a cero), con el agravante de que en Linux hay una cultura de pasar olímpicamente de cualquier software que permita a un usuario ignorante medio aumentar su propia seguridad.
#53 Automontaje de pendrives no es lo mismo que instalación automática de software.
#63 Automontaje de pendrives + autoaceptación de pulsaciones te tecla desde cualquier dispositivo usb que diga ser un teclado = sí, instalación automática de software
Imagina que esas "pulsaciones de tecla" empiecen por "Alt+F2 bash ", y continúen con un script entero que detecte dónde ha sido automontado el pendrive, ejecute lo que quiera, copie lo que quiera (dentro de tu directorio home, por ejemplo en el Autostart de tu gestor de escritorio), etc.
Sí, el sistema seguirá siendo seguro. Tu usuario ya no.
#65 Lo primero es que tenga "Alt+F2", y lo segundo que el montaje USB no tenga permisos de ejecución capados con 'noexec' en fstab o con reglas de UDEV.
Y el usuario no va a tener sudo ni autostart. 'Noexec' en /home y ya. Sí, se puede lanzar externamente con strings, ldd y objdump pero es un secreto
Lo dicho, en una seguridad paranoica y no intrusiva estos ataques quedan mitigados.
#77 "[...] en una seguridad paranoica [...]"
Vamos, que por defecto nada de nada, y encima hay formas de saltárselo.
Claro que si conectas un troyano USB de estos a un móvil con Android sin rootear, seguramente también el ataque "quede mitigado", y sigue siendo Linux, ¿no?
#78 Creo que los Android no tienen soporte USB host por defecto.
Y el subsistema de ejecutar comandos no es el mismo ni de coña.
Ni siquiera vas a poder ejecutar o escribir nada, ya que por defecto cada launcher en cada terminal es diferente y su disposición también.
No hablemos ya de tipos de entrada que te mueres.
No por compartir kernel vas a tener un acceso similar a dispositivos, te lo digo desde ya.
#78 Y si preguntas por ADB o similares, ninguno lo tiene activado por defecto, y es casi imposible hacerlo desde un dispositivo USB ya que en Android, comandos desde fuera de la terminal es un 'tsk, tsk'.
Por no hablar de que muchos no tienen ni terminal instalada, como para ejecutar nada.
#20 Lo menciona como un recurso literario, como cuando te muestran en las primeras escenas de una película la cara del qeu al final resultará ser el asesino. Es para que parezca que no se lo han sacado de la manga a última hora en el guión y, de paso, para que los listos digan "si ya lo veía venir".
Es muy interesante y recomendable, incluso para profanos como yo.
Estos son los artículos de seguridad que me molan
Me recuerda a los "cargadores" publicos que robaban datos mientras tu dejabas el movil cargandolo.
#22 Por esto en la mayoría de empresas que siguen una ISO de seguridad está prohibido que nadie conecte nada en los USB. Así no tienes que pensar si es peligroso. Simplemente no conectes nada y ya está.
Alguien se imagina cuál es la empresa del IBEX-35 en la que se desarrolla la historia?
Un relato muy bueno, se lee casi como una novela corta. Sólo me ha quedado una duda: cómo detectaron la filtración en la Empresa?
#27 posiblemente porque la victima (u otra persona) vio un correo sospechoso antes de ser borrado
[spolier - parte III]
"Revisando su buzón de OWA no encontramos nada sospechoso. Todo está perfectamente en orden, ordenado y pulcro en extremo. Sin embargo, los logs de Exchange cuentan una historia totalmente diferente: hay docenas de correos electrónicos enviados a cuentas de Gmail con nombres muy similares a personal de la Empresa y otras empresas colaboradoras. Los atacantes siguen intentando mantener un perfil bajo, borrando del OWA los correos enviados para no dejar rastro."
#37 #27 #33 Me la juego a Repsol, ha cambiado recientemente de sede, tiene oficinas nuevas, y tiene varios enfretamientos con personas poderosas, como puedan ser los argentinos.
#27 Pues dicen que descubrieron que otras empresas tenían acceso a su información confidencial. ¿Cómo lo descubrieron? Bueno... puede ser algo tan inocente como que a alguien se le haya escapado algún comentario en una reunión, o puede ser porque vieron que sus competidores se les adelantaban en algo, o podría ser también que ellos por su lado tengan espías en otras empresas.
Y el esparadrapo en la cámara web del portátil?
El colega de seguridad que sale en la secxta siempre lo lleva, y aquí no lo menciona.
#28 Otro tanto habría que llevar en la del móvil, y en el micrófono, tanto del portátil como del móvil...
#58 yo de hecho, solo me comunico telepáticamente con mis contactos.
De todas formas, el plan estratégico (generalmente son pajas mentales) de cualquier empresa del Ibex 35 lo único que será es caro, porque útiles son mas bien poco.
Y si te interesa mucho, es mas barato comprar a cualquier currito de la consultora que lo hizo, o si no el / la secretaria / o de cualquier jerifalte de dicha empresa.
Tanta tecnología y sigue funcionando lo de siempre.
Y porque no le llamaron por teléfono y le pidieron todas sus contraseñas? seguramente se las habría dado si dice que es de informática.
#5 ¿estás llamandolo torpe por haber conectado el acuario y no sospechar que podría ser una trampa?
No sé cómo funcionará esto, pero si el ordenador no te avisa con un cartelito de instalando hardware o por lo que sea no ve el cartelito, veo normal no sospechar nada. Eso sí, si algo así salió (que supongo que sí) y lo vio, entonces ya es otra cosa.
#22 Hombre, si pinchas un acuario usb al windows, lo normal es que salga el cartelito diciendo 'instalando nuevo hardware', yo tampoco sospecharía. De hecho yo tengo una placa para una impresora 3D que está basada en la Teensy y tuve que instalar sus controladores y las librerías Teensyduino para el entorno Arduino. Supongo que se podrá programar para al pincharlo hacer maldades (lo que comenta de abrir una consola y mandar un chorro de comandos), pero eso se me escapa esa parte de cómo pasa del acuario al sistema.
#40 La gente debería plantearse un poco más las consecuencias de lo que hace:
- El aparato que conecto, ¿qué permisos debería necesitar?
- El software, ¿qué permisos me está pidiendo?
Si los dos no coinciden, como por ejemplo un gadget que no debería necesitar NADA aparte de electricidad, vs un software que pide acceso al sistema para ¿"controlar" el gadget (que no tiene nada que controlar)?... pues habría que sospechar.
Aparte de tener especial cuidado si los permisos que esperas dar son demasiado altos (ej: conectar un pendrive).
#22 Claro que todo esto no es difícil saltárselo con solo añadir algo como un software que permita controlar las lucecitas del acuario. Probablemente el mismo director de marketing enchufaría el acuario e instalaría el software para controlarlo, sin plantearse mucho más. Incluso aunque el software "fallase" al instalarse.
#49 Cacharros como este son bastante improbalbes, yo creo que el problema mucho mayor es la licencia que mucha gente acepta sin mirar por motivos obvios.ie
#67 ¿Improbables, por qué motivo?
Un Teensy cuesta $20 oficial ($15 con portes desde china), un Arduino con usb reprogramable cuesta $25 oficial ($5 con portes desde china). Para ambos hay toneladas de librerías, tutoriales y ayudas sobre cómo hacer que funcionen como teclado o ratón. A alguien con un mínimo de idea no debería llevarle más de una hora o dos hacer un cacharro así.
En serio, si no se ven más es solo porque sigue siendo más rentable mandar un millón de emails sobre alargamiento de pene y esperar a recoger miles de números de tarjeta sin mover un dedo.
#49 Un par de vídeos ilustrativos a la par que amenos y divertidos:
/cc #67 (por lo que te comenta #70 sobre lo sencillo que es y la de tutoriales que existen)
#59 y #49 Yo es que suponía que el enchufarlo al USB era para algo más que alimentación... No tengo 'cacharros' USB raros, los que tengo todos necesitan algo más que alimentación.
A mí por lo menos me la hubiesen colado, porque no me hubiese parecido sospechoso que se instalara algo.
#40 si pinchas el acuario y el acuario lo único que necesita es una fuente de energía, no te debe de salir ningún cartelito. Yo por ejemplo tengo una bola de plasma que la enchufo al ordenador eso, ni cartelito ni nada porque no es un dispositivo a instalar, simplemente es algo que está cogiendo energía para poder funcionar.
¿Existen ladrones USB que impidan la conexión de HID de esos? Digamos que sólo permitan dispositivos exclusivos de almacenamiento y conexión eléctrica.
#23 Parece que la cosa está jodida https://srlabs.de/badusb/
#23 Existe Linux, donde muy pocos programas se ejecutan desde el USB.
#32 lee el artículo, no se ha ejecutado ningún programa.
Esto no era más que un dispositivo HID. Un teclado normal y corriente de los que funcionan en *todos lados*, programado para mandar la secuencia correcta de teclas en lugar de responder a las teclas físicas.
#23 http://www.mcafee.com/us/products/device-control.aspx
#23 Un HUB USB que solo permita "conexión eléctrica" es muy fácil de hacer: pillas un HUB cualquiera y arrancas los dos cables de datos de en medio de cada conector
(o los des-sueldas, o cortas las pistas en placa, o cualquier cosa menos bestia e igualmente efectiva)
Opcionalmente, con un trozo de celo y unas tijeras, le puedes poner un "condón" a cualquier cable USB:
http://www.instructables.com/id/USB-Condom/
El tema es más interesante todavía que el tema del acuario que sería un troyano extremo (AVISO: VA ROLLO)
Hoy en día la mejor manera de entrar en una empresa no es atacando sus firewalls y aplicaciones externas. Si es medianamente seria, esto estará bien protegido. Es más fácil buscar un camino "social"
Por ejemplo, soy un hacker que quiere obtener una serie de informaciones de la empresa POLLARDOSA S.L. En lugar de atacar a la serie de trampas que son los firewall, redes externas, etc me voy a linkedin y busco "POLLARDOSA" ¿qué me sale pues gente que trabaja ahí y está orgullosa de ello (linkedin es un escaparate profesional, cuanto más atractivo sea tu perfil, más ofertas te pueden llegar) y buscamos administradores de BD, managers, BOFH (con éstos va a ser más jodido) etc y miramos la forma de llegar a ellos. Puedes buscar en redes sociales, foros, aficiones, etc.
Una vez localizada la víctima, se ve la forma de llegar a su ordenador, bien sea troyanos, rompiendo la Wifi de su casa, etc. Si se consigue llegar al ordenador del trabajo posiblemente sea fácil obtener los accesos VPN, contraseñas, etc.
Claro que la cosa no es simple, depende de lo que quieras obtener y el precio dispuesto a pagar. A lo mejor examinas a 100 personas y ninguna sirve y en otros casos a la primera has obtenido acceso hasta la cocina.
Por ejemplo, los ordenadores de mi empresa llevan mierda de seguridad para aburrir: disco cifrados, accesos VPN, restricciones si no se está en el dominio de la empresa, certificados, ... pero en otras empresas que he estado la seguridad era mucho más laxa (con un sniffer de teclado pillabas todas las contraseñas para entrar en la VPN)
Moraleja: de nada te vale poner altas murallas si le dejas la llave a todo cristo.
En una de las empresas por las que pasé hace 15 años el director de seguridad nos reenvió un ingenioso correo con un adjunto "park baby.com". A las 4 horas nos mandó otro correo pidiendo que no abriéramos porque le habían dicho que era un virus.
Esas cosas pasan. Hoy en día, también.
#29 Hace años trabajé como "chico para todo" (informático) en una PYME. Cuando tocó hacer revisiones de seguridad, se me ocurrió mandarles a todos un email con un .exe adjunto... que una vez abierto sacaba un bonito cartelito de "acaba de ganar la asistencia obligatoria a un curso de seguridad".
)
Se libró uno (al que hicieron asistir de todas formas
Uno de estos haría estragos por aquí
Brutal la historia desde el principio. A saber las horas de trabajo que le han dedicado los atacantes al tema. Deben haberlo cobrado a precio de oro.
me he quedado enganchado con la historia! Muy muy instructiva
Me llama la atención que una empresa del ibex 35 permita que publiquen todo este caso.
En este caso parece que los juanquers no supieron nadar y guardar la ropa...
Una variante más simple, creo que contada en "the art of deception" es regalar algunos pinchos usb promocionales a la entrada de la empresa objetivo.
No afina tanto el objetivo, eso es cierto.
Tremenda historia o.O
Me he quedado de piedra. Del I al IV, muy recomendable.
Bueno, ante este tipo de situaciones es muy complicado no cometer un error de este tipo... por eso no tengo facebook ni twitter.
#12 Hombre, no se tu caso, pero que el director de marketing no tenga Facebook y Twitter debería de ser causa de despido
.
#19 Aclaración:
Si le pillaron a este señor es precisamente porque "vendió" su vida privada en Twitter y Facebook. La idea es que "venda" productos de empresa, no su vida privada.
Y no es necesario tenerlo, pero sí conocer la herramienta.
Que levante la mano el que no haya intentado acceder a www. per1odico. es
#39 Yo.
Le hice un dig primero, y como no está registrado...
Tal vez más que "segundo lo que sea", guardar una lista de lo que había conectado en el arranque, o al de un determinado tiempo después del arranque, y que salga la ventana —o directamente rechazar por defecto— para cualquier cosa no conectada en el arranque.
Claro que entonces vendría el listo que conectaría un acuario, y reiniciaría el pc para que le funcionase