Aggiornamenti recenti Aprile 3rd, 2025 10:03 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Colt ha completato il trial di crittografia quantistica sulla propria rete ottica
- Corea del Nord: la minaccia cyber si espande in Europa grazie ai professionisti IT
- Le vulnerabilità dei tool RMM aprono nuove opportunità ai cybercriminali
- Una campagna di phishing usa il DNS-over-HTTPS per eludere i controlli
- CERT-AGID 22-28 marzo: in vendita sul darkweb i documenti dello smishing a tema INPS
Con PoisonTap si può violare un PC in 60 secondi
Un dispositivo Raspberry Pi Zerocollegato alla porta USB consente di dirottare il traffico Internet e compromettere un computer in meno di un minuto.
Immaginate di aver lasciato il vostro computer in stato di blocco (e protetto da password) durante la pausa pranzo. Tornate alla vostra scrivania e tutto sembra normale. Nel frattempo, però, il vostro computer è stato infettato. Magia? Voodoo? No: è bastato un attacco “fisico” portato con un dispositivo da 5 euro.
Il “mostriciattolo” in questione è stato battezzato dal suo creatore Samy Kamkar con il nome di PoisonTap. Si tratta di un Raspberry Pi Zero equipaggiato con Linux e un software realizzato dallo stesso Kamkar.
La tecnica di attacco, vista da fuori, potrebbe essere descritta semplicemente così: il dispositivo viene collegato alla porta USB di un computer per circa 60 secondi, dopo di che viene scollegato. Quello che succede dietro le quinte, lo spiega Samy Kamkar in un video pubblicato su YouTube.
PoisonTap, una volta collegato al computer, si “presenta” come un’interfaccia Ethernet. Quando il computer invia una richiesta DHCP, il dispositivo risponde in modo da far credere al sistema operativo che la sua rete locale comprende un range di IP che coprono l’intero spettro IPv4 (da 0.0.0.0 a 255.255.255.255).
Qual è lo scopo? Tutti i sistemi operativi, se possono scegliere tra un collegamento Internet e una LAN per raggiungere un IP, scelgono la LAN. A questo punto, quindi, tutte le richieste in partenza dal browser per qualsiasi sito vengono dirette a PoisonTap.
E non è necessario che si tratti di navigazione “attiva”: se il proprietario ha lasciato aperta una sessione del browser sul computer, alcuni elementi (come gli analytics e le pubblicità) rimangono attivi. Alla prima richiesta HTTP, PoisonTap risponde inserendo nella cache una raffica di iFrame con una backdoor, associati a 1.000.000 di siti tra i più visitati su Internet.
Mentre PoisonTap è collegato, spiega Kamkar, un attaccante può accedere in remoto anche al router collegato al computer, oltre ad acquisire tutti i cookie e i dati relativi alle sessioni.
A questo punto è possibile staccare il collegamento, di cui non resta traccia. In altre parole: il computer è praticamente già infetto senza che sia stato necessario violare il blocco o forzare la password dell’utente. L’attacco funziona su qualsiasi sistema operativo e l’unico modo per impedirlo sarebbe, a livello di amministrazione IT, forzare la rete a usare solo HTTPS.
L’alternativa può essere quella di tappare tutte le porte USB o assoldare un vigilantes per sorvegliare il computer quando ci si allontana dalla scrivania. Considerato che il software sviluppato da Kamkar può essere liberamente scaricato dal suo sito Web, potrebbe non essere una cattiva idea.
Condividi l'articolo
La Local Intelligence al centro della nuova sicurezza aziendale
Firefox Focus, il browser iOS che blocca pubblicità e tracker
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Corea del Nord: la minaccia cyber si espande in Europa... La Corea del Nord sta incrementando le proprie attività... -
Le vulnerabilità dei tool RMM aprono nuove opportunità ai... Se da una parte i tool di Remote Monitoring and Management... -
Mimecast: con l’AI una nuova era per la Data Loss... Ogni nuova tecnologia porta con sé nuovi rischi. Nel caso... -
Penetration testing, una volta ogni tanto non basta più:... Il processo di penetration testing è ormai una pratica... -
Il ransomware Medusa ha colpito oltre 300 infrastrutture... Il bilancio delle vittime del ransomware Medusa è...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Colt ha completato il trial di crittografia quantistica... Colt Technology Services ha annunciato di aver completato... -
Corea del Nord: la minaccia cyber si espande in Europa... La Corea del Nord sta incrementando le proprie attività...
-
Le vulnerabilità dei tool RMM aprono nuove opportunità ai... Se da una parte i tool di Remote Monitoring and...
-
Una campagna di phishing usa il DNS-over-HTTPS per eludere... I ricercatori di Infoblox hanno scoperto una nuova campagna... -
CERT-AGID 22-28 marzo: in vendita sul darkweb i documenti... Nel corso dell’ultima settimana, il CERT-AGID ha rilevato...
Ransomware: la serie
No posts found.
