Aggiornamenti recenti Aprile 2nd, 2025 10:39 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Corea del Nord: la minaccia cyber si espande in Europa grazie ai professionisti IT
- Le vulnerabilità dei tool RMM aprono nuove opportunità ai cybercriminali
- Una campagna di phishing usa il DNS-over-HTTPS per eludere i controlli
- CERT-AGID 22-28 marzo: in vendita sul darkweb i documenti dello smishing a tema INPS
- SharePoint inondato dallo spam: la colpa è di un dominio Stream compromesso
USBHarpoon: il cavo che ti spia, nella migliore delle ipotesi
Torna l’attacco BadUSB, ma in una versione rivista che lo trasforma in USBHarpoon: un cavo USB apparentemente innocuo e pericolosissimo.
L’attacco BadUSB è ormai cosa molto nota, ma la sua ultima incarnazione USBHarpoon getta nuova luce sulle politiche da implementare in azienda.
La base dell’attacco BadUSB risiede nel fatto che, seguendo le specifiche di comunicazione USB e Plug & Play, è il dispositivo collegato alla USB a dire al computer di cosa si tratta: un disco esterno, una chiavetta dati, una tastiera o un mouse e così via.
Manipolando, quindi, sui dispositivi esterni i chip che gestiscono i collegamenti USB, si può connettere un chiavetta che dice al PC di essere un lettore di CD-Rom o una webcam e il sistema operativo non farà una piega.
Il problema è che se il chip dice all’host di essere una tastiera e poi inizia a inviare dati che rappresentano la pressione di tasti, il sistema operativo li prenderà per buoni, come se fossero inviati dall’utente.
Questo subdolo sistema di attacco ha chiaramente molti punti critici nell’uso pratico anche se sicuramente non è un problema convincere qualcuno a infilare una chiavetta USB nel PC: bisogna inserire la chiavetta USB nella porta del computer; è attualmente impossibile nascondere le operazioni completamente dal momento che gli effetti dei comandi inviati dalla tastiera virtuale sono visibili sullo schermo; l’attacco può funzionare solo finché la chiavetta è attaccata al PC e il lasso di tempo è relativamente breve se non si è fisicamente in controllo del pc da attaccare e così via. Ma qui entra in ballo USBHarpoon.
Se, infatti, si crea un cavo usb che ha al suo interno un chip che lo rende un dispositivo USB Human Interface Device (HID), le tecniche per portare a termine un attacco si moltiplicano.
“Il problema con la tecnica di BadUSB” – dice Vincent Yiu di SYON Security in un suo post– “è che il team che lo aveva sviluppato non era riuscito a creare un cavo che fosse anche un HID. USBHarpoon, invece, funziona proprio come un cavo USB a tutti gli effetti: trasferisce dati, carica gli smartphone, alimenta gli HUB ed è anche un dispositivo HID”.
Quindi, Vincent Yiu, con l’aiuto del famoso Kevin Mitnick e dei ricercatori Olaf Tan and Dennis Goh di RFID Research Group, hanno dato vita a un proof of concept davvero inquietante: qualsiasi cavo USB potrebbe nascondere qualsiasi tipo di minaccia.
Nel video qui sotto vediamo un esempio di come collegando un drone (non modificato) al pc tramite un cavo USB “USBHarpoonato”, si lanci una shell che esegue dei comandi.
Ok, ma non è un attacco invisibile
Sicuramente l’attacco soffre ancora di tutte le difficoltà che erano intrinseche in BadUSB, ma il nuovo formato permette di mettere in pratica tutta una serie di tecniche per evitare di essere scoperti.
La connesione come dispositivo HID, che viene annunciata agli utenti con il classico suono di connessione della periferica, può essere mascherato ritardando la procedura al momento in cui viene connessa una periferica al cavo, per esempio.
In questo modo, l’apparizione fugace di una schermata di shell potrebbe essere imputata al dispositivo collegato e non al cavo.
Un’altra possibilità è quella di attivare da remoto l’attacco USBHarpoon con un comando radio quando si può vedere che la postazione bersaglio è vuota e così via o l’operatore è distratto (magari dallo stesso attaccante tramite una telefonata).
Mitigarlo è tutt’altro che banale
Come si può quindi mitigare un attacco camuffato da tastiera collegata al PC? Bloccare a priori i dispositivi usb di quel tipo non è una soluzione a meno di non fornire tastiere proprietarie (o seriali) a tutta l’azienda.
Si potrebbe usare un “preservativo USB” ovvero un adattatore usb a cui sono stati scollegati i pin che trasmettono dati, ma in questo caso, bisognerebbe esser sicuri che nessuno di questi “USB Condom” venga sostituito con un dispositivo USBHarpoon che ne replica le funzioni.
“Il problema che sta dietro a BadUSB” – dice Karsten Nohl, il ricercatore che ha sviluppato BadUSB – “è che nessuno ha preso in considerazione il problema. Il fatto che un cavo di ricarica per lo smartphone possa diventare un vettore d’attacco, magari, servirà a ricordarci del problema”.
Purtroppo, in realtà, una soluzione è tutt’altro che semplice da trovare perché il grande vantaggio delle porte USB è proprio quello di permettere alle periferiche di esser riconosciute ovunque.
A proposito, ovviamente questo attacco funziona anche se il cavo modificato viene collegato alla porta host USB C (o micro USB) di uno smartphone o tablet.
Condividi l'articolo
Vulnerabilità in Airmail 3 invia i dati degli utenti Apple ai criminali
Hacker colpiscono Cosmos Bank e rubano 13,5 milioni di dollari
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Corea del Nord: la minaccia cyber si espande in Europa... La Corea del Nord sta incrementando le proprie attività... -
Le vulnerabilità dei tool RMM aprono nuove opportunità ai... Se da una parte i tool di Remote Monitoring and Management... -
Mimecast: con l’AI una nuova era per la Data Loss... Ogni nuova tecnologia porta con sé nuovi rischi. Nel caso... -
Penetration testing, una volta ogni tanto non basta più:... Il processo di penetration testing è ormai una pratica... -
Il ransomware Medusa ha colpito oltre 300 infrastrutture... Il bilancio delle vittime del ransomware Medusa è...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Corea del Nord: la minaccia cyber si espande in Europa... La Corea del Nord sta incrementando le proprie attività...
-
Le vulnerabilità dei tool RMM aprono nuove opportunità ai... Se da una parte i tool di Remote Monitoring and...
-
Una campagna di phishing usa il DNS-over-HTTPS per eludere... I ricercatori di Infoblox hanno scoperto una nuova campagna... -
CERT-AGID 22-28 marzo: in vendita sul darkweb i documenti... Nel corso dell’ultima settimana, il CERT-AGID ha rilevato... -
SharePoint inondato dallo spam: la colpa è di un dominio... Un vecchio dominio di Microsoft Stream è stato compromesso...
Ransomware: la serie
No posts found.
