Poison Tap za 20 złotych wykrada ciastka z zablokowanych kompów

16 listopada 2016, 20:49 | Aktualności | komentarzy 17
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

Nieskobudżetowy i pomysłowy projekt za $5 (+ koszt karty microSD ;-)

Całość jest zbudowanym w oparciu o RPi zero kombajnem podszywającym się za kartę sieciową USB, która (nawet na zablokowanych komputerach – Windows/Linux/OS X) jest automatycznie instalowana.

Poison Tap

Poison Tap

W dalszym kroku narzędzie udostępnia swój serwer DHCP i przydziela nowy adres IP podstawionemu interfejsowi na komputerze ofiary. W normalnej sytuacji ruch kierowany na tą kartę dostaje mniejszy priorytet niż normalna karta sieciowa, ale mamy tutaj pewną sztuczkę:

  • podstawiony serwer DHCP daje adresację z LAN jako… 0.0.0.0 – 255.255.255.255
  • ruch do LAN ma wyższy priorytet niż ruch do Internetu i ofiara kieruje dowolny ruch na publiczny adres IP do … Poison Tapa.

Co z wykradaniem ciastek? Jeśli ofiara posiada włączoną przeglądarkę z jakąkolwiek stroną komunikującą się 'w tle' z otworzonym serwisem (requesty AJAX, doczytywanie reklam, itp), Poison Tap generuje odpowiednie odpowiedzi HTTP i wstrzykuje w nie tysiące iframe-ów (każdy do innej domeny) w ten sposób zmuszając przeglądarki do wysłania ewentualnych ciasteczek.

Ciastka dalej transmitowane są za pomocą websocketa do atakującego (już normalnym połączeniem internetowym).

Wg. autora atak udaje się utrzymać nawet po wypięciu urządzenia. Całość za pomocą kolejnego tricku – wyżej wspomniane iframes odpowiadają kodem, który jest… trwale cacheowany w przeglądarkach. Realizowany jest w ten sposób trwały atak typu browser cache poisoning.

PoisonTap w akcji:

 

Autor urządzenia zaleca m.in. wyłączanie przeglądarek przed zablokowaniem komputera, używanie tylko HTTPS a także zabetonowanie swoich portów USB ;-)

–Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Niestety 5$ to koszt bez wysyłki. Wysyłka to dodatkowe 15$ a w dodatku wszyscy dystrybutorzy sprzedają tylko po 1 sztuce. Może by się udało zrobić coś podobnego np na atmega32u4.
    Albo jeszcze lepiej na ESP8266 z software’ową implementacją USB – nie dość, że się schowa w USB – to jeszcze wyniki od razu wyśle po WiFi :) https://twitter.com/cnlohr/status/770674584626475009

    Odpowiedz
  2. dzek

    w oryginalnym artykule nie było słowa o linuksie.

    to działa to na linuksach czy nie?

    Odpowiedz
    • m132

      Zależy, Linuksy z Network Managerem (wiekszość desktopowych) same wykryja i połączą się z kartą, te bez (serwerowe) raczej będą wymagać dodatkowej konfiguracji.

      Odpowiedz
  3. Hub

    Szkoda, że raspi zero się rozeszły jak ciepłe bułeczki. W PL niestety najtaniej po 60zł z drugiej ręki…

    Odpowiedz
    • Pi

      Można zrobić zrzutkę na większą ilość zza oceanu, gdzie rpi0 są po 5USD bodajże, ale przesyłka około 40USD, lub zakupić w UK tyle że sprzedają po jednej sztuce.

      Odpowiedz
    • fffr

      zamiast maliny kup sobie chipa
      getchip kom koszt 9$

      Odpowiedz
  4. Kowal

    Oj tam zabetonować porty zaraz! Wywalić hajs na samochód i kupić nowego maca pro :D porty jeszcze długo nie chwycą :P

    Odpowiedz
  5. pawel

    A tak wszyscy krytykują politykę apple o braku portów usb ;)

    Odpowiedz
    • Jest USB-C :)

      Odpowiedz
    • Adrnin

      Tak jakby bez usb nie bylo malware na ten syf z rezerwatu

      Odpowiedz
  6. Dominik

    Gdzie mogę coś takiego kupić? :)

    Odpowiedz
  7. SuperTux

    A jak ktoś ma wyłączoną pamięć podręczną przeglądarki to iframe’y będą się dalej cache’ować? Bo ja np. mam to wyłączone, mam wystarczająco szybki internet żeby cache przeglądarki nie potrzebować.

    Odpowiedz
    • Jak to wyłączysz w przeglądarce to najprawdopodobniej nie będzie cacheować.

      Odpowiedz
  8. Paweł

    Załatałem dzisiaj tą dziurę na Linuksie. Jest dostępna paczka USBGuard, która działa jak firewall i pozwala na definiowanie polityk dla urządzeń USB, oraz na decydowanie on-the-fly czy umożliwić podłączonemu urządzeniu na dostęp. W domyślnym trybie blokowania nie dopuści do przeprowadzenia ataku przez rekonfigurację ustawień sieciowych.

    Raczka jest w repozytoriach (przynajmniej jeżeli chodzi o Fedora 24) i na GitHub:
    https://github.com/dkopecek/usbguard

    Odpowiedz
  9. Adam

    Jak rozumiem atak działa tylko na strony, które nie korzystają z HTTPS.

    Odpowiedz
    • albo takie które korzystają z HTTPS i HTTP

      Odpowiedz
    • Radosław Rumian

      Chyba, że robi jeszcze za proxy i MiTMa zrobi po drodze. Z tego co rozumiem, to to nie robi tego by design, ale pewnie niewiele pracy potrzeba, żeby robiło. A wtedy zamiecione …

      Odpowiedz

Odpowiedz