Malafide usb-kabel maakt aanval via wifi mogelijk
Een beveiligingsonderzoeker heeft een malafide usb-kabel ontwikkeld waarmee het mogelijk is om via wifi commando's op het aangesloten systeem uit te voeren. De onderzoeker, met het alias MG, had naar eigen zeggen zo'n 300 uur en 4.000 dollar nodig om de "O.MG-kabel" te ontwikkelen.
Zodra de kabel is aangesloten op een systeem, is het mogelijk om via wifi commando's uit te voeren, net alsof een aanvaller toegang tot het toetsenbord of de muis heeft. De kabel wordt door het systeem namelijk als een HID (Human Interface Device) herkend. De computer denkt in dit geval dat de kabel een toetsenbord en een muis is. Door het toevoegen van een wifi-chip is het vervolgens mogelijk om het "toetsenbord" op afstand te bedienen. Zo kunnen er bijvoorbeeld phishingpagina's op het aangevallen systeem worden getoond, maar zijn ook andere aanvallen mogelijk.
In het verleden hebben onderzoekers vaker HID-aanvallen gedemonstreerd. Bekende voorbeelden zijn de Rubber Ducky of het aangepaste Teensy-board van Google-onderzoeker Elie Bursztein. MG laat weten dat hij een aantal kabels gaat maken voor mensen in de security-industrie. Het is nog onbekend of hij ze zal weggeven of zal verkopen. "Maar verkopen maakt ze eenvoudiger te verkrijgen", aldus de onderzoeker. In onderstaande video wordt de kabel gedemonstreerd.
Dan heb je duidelijk niet begrepen wat het doet.
Wat een zinloze opmerking. Dit is toch totaal iets anders? Dit is een USB 'laad' kabel die iedereen gebruikt, en zonder zorgen zal gebruiken, waarin een Wifi chip verstopt zit zodat jij de pc kunt overnemen op afstand. Vraag me af hoe je je hier tegen kan beschermen.....
Zoiets knutsel je zo in elkaar met een RPI zero.
Wat een sensatieartikel.
Met USB policies kan je je trouwens aardig (inderdaad, niet volledig) beschermen hiertegen door alleen bepaalde VID/PIDs toe te staan.
Met een USB-condoom.
Dat vraag ik me af. Je moet het nml vergelijken met het allereerste prototype van die cactus. Daar is ook vel tijd en geld in gestoken.
Maar als iemand zich afvroeg hoe de buurvrouw zwanger werd, dat is van alle eeuwen. De DNA onderzoekjes die daarvan bestaan wijzen uit dat in1 van de tien gevallen de vader die het kind aangeeft niet de vader is die het DNA aantoont. Beter dus maar niet altijd naar DNA vragen.
Het statistiekje gaat al vele generaties terug dus de technieken om door de security heen te komen waren ook al lang bedacht voordat de eerste pentium chip op de markt kwam, of het van van balpentester werd uitgevonden. 1 op de tien is altijd al van de melkboer geweest. Of van meneer pastoor.
Hoe daar mee om te gaan is veel relevanter dan roepen dat zulke dingen niet mogen bestaan. In dat laatste geval uit je plaatje gaan, is enkel een teken dat je nog moet bijleren. Maar pas op met naar de DNA bank te gaan, want het kan zomaar zijn dat je een Q.E.D.'tje krijgt te horen. Wat je eeuwige gelijk dan maar weer moeten proberen te verwerken. Al zeker als je weet dat dergelijke bugs al eeuwen blijken te bestaan.
ah, die kabel met " Not Available " op de website, die moeten we kopen?
Nou dat dacht ik ook, maar deze onderzoeker heeft ook USB-condooms aangepast zodat daar een zelfde soort chip in zit.... Zijn stelling is dus, als je niet weet wat er in zit, kun je geen enkele kabel of USB device vertrouwen.
Zoiets knutsel je zo in elkaar met een RPI zero.
Wat een sensatieartikel.
Erg stealthy. Ik neem aan dat het in de stekker zit zonder verdere verdikking van de kabel?
… Dit is een USB 'laad' kabel die iedereen gebruikt, en zonder zorgen zal gebruiken, ...
Ik bedoel, hoe moeilijk kan het zijn zo'n geminiaturiseerde draadloze verbinding uit z'n omhulling te slopen en in een laadkabel te prutsen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
