Quanto dovrei preoccuparmi di essere hackerato con PoisonTap?

61

Ho appena sentito parlare di PoisonTap oggi. Ecco una breve descrizione di Articolo TechCrunch :

PoisonTap connects to the USB port and announces itself not as a USB device, but an Ethernet interface. The computer, glad to switch over from battery-sucking Wi-Fi, sends a DHCP request, asking to be assigned an IP. PoisonTap responds, but in doing so makes it appear that a huge range of IPs are not in fact out there on servers but locally connected on the LAN, through this faux wired connection.

E

you don’t even have to be there: pre-loaded items like analytics and ads will be active, and as soon as one of them sends an HTTP request — BAM, PoisonTap responds with a barrage of data-caching malicious iframes for the top million Alexa sites. And those iframes, equipped with back doors, stick around until someone clears them out.

Questo sembra abbastanza preoccupante, eppure non ne ho ancora sentito parlare. Quindi la mia domanda principale è:

In che modo le persone sono vulnerabili all'hack di PoisonTap?

Sembra che i seguenti punti siano rilevanti:

  1. La popolazione generale è a rischio o solo un sottoinsieme molto specifico (sistema operativo, browser?)
  2. Che cosa è esattamente a rischio, i tuoi dati, il tuo account Gmail ...?
  3. È qualcosa che la maggior parte delle persone può trarre, o dipende da hardware specifico e un alto livello di abilità?
  4. C'è qualcosa che si può fare facilmente, senza chiudere tutti i browser o spegnere il PC ogni volta che si cammina in una stanza diversa per fare una breve domanda. (Il blocco è sufficiente?)

E naturalmente, se è così male come sembra: possiamo aspettarci presto degli aggiornamenti che renderebbero più sicuro andare di nuovo in bagno?

    
posta Dennis Jaheruddin 17.11.2016 - 14:08
fonte

4 risposte

62

Per prima cosa l'attaccante deve avere un accesso fisico alla macchina per collegare il dispositivo alla porta USB. Questo significa che non è possibile alcun tipo di exploit remoto completo. Funziona anche se lo schermo del computer è bloccato con una password o simile. Nota che l'accesso fisico non deve essere diretto, cioè può anche essere un utente credulone che collega una chiavetta USB donata al sistema.

Quindi il dispositivo si annuncia come un dispositivo Ethernet USB. Ciò significa che il computer proverà ad aggiungere PoisonTap come dispositivo di rete al sistema e ottenere da esso un indirizzo IP utilizzando DHCP. La risposta DHCP restituirà un indirizzo IP con una sottorete / 1 in modo che la maggior parte del traffico IPv4 venga inviato al dispositivo. Da quel momento in poi l'attaccante ha lo stesso accesso al dispositivo come un router: infatti il dispositivo funziona come un router per il computer attaccato. Ciò significa che qualsiasi traffico può essere facilmente sniffato e modificato, ma che le connessioni crittografate sono ancora protette contro la decodifica e le modifiche vengono rilevate. Ciò significa ad esempio che l'accesso di gmail su https (nel solito modo) non sarà compromesso.

Alla fine è solo un altro modo per un aggressore locale. L'impatto dell'attacco è paragonabile a reindirizzare il traffico di qualcuno tramite ARP o DHCP spoofing, dirottando il router locale o un access point canaglia. Non più si può fare come con questi attacchi ma anche niente di meno. Sembra che il software sia dotato di alcuni attacchi piacevoli che modificano le connessioni HTTP non crittografate per accedere a diversi siti al fine di avvelenare la cache del browser con script molto usati (come un'analisi google avvelenata, ecc.). Poiché molti siti includono tale codice di terze parti e tale codice ottiene l'accesso alla pagina intera, un codice avvelenato può estrarre molte informazioni utili. Ma ancora, questo funziona solo per HTTP non HTTPS.

Is the general population at risk, or only a very specific subset (os,browser?)

La maggior parte dei sistemi attuali è a rischio, ma l'attaccante ha bisogno di un accesso fisico.

What exactly is at risk, your data, your gmail account ...?

Sniffing e modifica delle connessioni non crittografate. Gmail di solito è crittografato e quindi non interessato.

Is it something that most people can pull off, or does it depend on specific hardware and a high level of skill?

Ha bisogno di hardware e software speciali ma l'hardware è economico e il software rilasciato. Ha bisogno dello stesso livello di esperienza di attacchi come ARP o DHCP spoofing, per esempio i kiddie dello script potrebbero farlo.

Is there something that one can do easily, without closing all browsers or turning off the pc each time when you walk to a different room to ask a short question. (Is locking it sufficient?)

Le solite protezioni contro altri attacchi basati su USB funzionano ancora, ovvero disabilita l'USB o limita il tipo di dispositivi. Tuttavia, se il dispositivo ha una porta Ethernet, è possibile eseguire un attacco simile in questo modo poiché qualsiasi tipo di connessione cablata è preferibile alla rete wireless dalla maggior parte dei sistemi.

    
risposta data 17.11.2016 - 15:27
fonte
14

L'ambito di ciò che "PoisonTap" può fare è equivalente a ciò che può già essere fatto con una rete locale malevola o un punto di accesso Wi-Fi al quale connetti / connetti. In entrambi i casi, ci sono tutti i tipi di pericoli gravi se si utilizzano connessioni non crittografate (ad esempio plain-http) per tutto ciò che conta (fornendo credenziali di accesso, esplorazione di contenuti sensibili, download di codice eseguibile o file di dati che potrebbero contenere dati malformati destinati a sfruttare un bug nell'applicazione che li utilizza, ecc.) ma esiste un rischio trascurabile per le connessioni crittografate. E impostare un falso punto di accesso è un rischio molto più basso per l'aggressore rispetto a collegare qualcosa nel portatile della vittima, quindi non vedo perché un attaccante competente scelga l'approccio di PoisonTap.

    
risposta data 17.11.2016 - 19:35
fonte
7

L'attacco è possibile solo con accesso locale e solo su sistemi che abilitano automaticamente l'hardware di rete connesso in modo casuale. Purtroppo, i tre principali SO lo fanno, ma alcuni altri più preoccupati della sicurezza (come OpenBSD e amici) non lo fanno. Si può prevedere che a seguito di questo attacco, forse Windows, MacOS e Linux cambieranno il loro comportamento per favorire la sicurezza più facilmente. Ma solo in questa area, finché qualcuno non trova un altro modo per sfruttare la propria posizione nel compromesso tra comodità e sicurezza in una zona diversa.

    
risposta data 17.11.2016 - 21:31
fonte
0

Is there something that one can do easily, without closing all browsers or turning off the pc each time when you walk to a different room to ask a short question. (Is locking it sufficient?)

La mia soluzione adesso è disabilitare le porte USB prima di bloccare lo schermo con uno script batch manuale che potrebbe essere simile a questo:

@echo off

:: Disable USB port(s)
REG ADD HKLM\SYSTEM\CurrentControlSet\services\USBSTOR /v Start /t REG_DWORD /d 0x4 /F

:: Lock screen
tsdiscon
    
risposta data 21.11.2016 - 08:51
fonte

Leggi altre domande sui tag