In che modo una "falsa" scheda di rete ruba le credenziali?

Question

In che modo una "falsa" scheda di rete ruba le credenziali?

#1 da (4 voti)

2

Ho letto che i dispositivi che assomigliano alle chiavette USB possono essere schede di rete nascoste che possono quindi rubare credenziali anche quando lo schermo è bloccato. (Come il coniglio Bash)

Capisco che essendo la rete possono inviare traffico internet ovunque. Ma come potrebbe essere d'aiuto? Posso persino capire che se qualcuno è disposto a digitare la propria password in un sito non sicuro ( http ), possono leggerlo. Ma fintanto che viene utilizzato https (e presumo che il traffico automatico come Windows Update, ad esempio, anche se invierebbero alcune credenziali, sarebbe su TLS) come lo leggeranno? E inoltre, perché un eventuale traffico automatico invierà credenziali?

Quindi la mia domanda è come può una carta di rete nascosta rubare credenziali quando non viene utilizzato da un utente (e..g. quando lo schermo è bloccato)?

passwords network tls credentials usb-drive

posta ispiro 19.02.2018 - 13:48

fonte

1 risposta

Leggi altre domande sui tag passwords network tls credentials usb-drive

Quando disconnettersi da un sito Web è necessario qualcos'altro, quindi distruggere la sessione? Certificati SSL pubblicati nel report APT1 di Mandiant

score 4 · Answer 1

L'attacco di cui leggi è probabilmente PoisonTap . Fondamentalmente funziona con il dispositivo USB come un piccolo computer che emula una scheda di rete USB e fornisce l'indirizzo IP e le rotte in modo che la maggior parte del traffico di rete del computer attaccato venga inviata al dispositivo USB.

Ottenere le credenziali in questo modo è possibile poiché i browser continuano a essere eseguiti se lo schermo è bloccato e continuano ad aggiornare i siti in background. PoisonTap fornisce tali "aggiornamenti del sito" e include collegamenti a un numero ancora maggiore di siti all'interno dell'aggiornamento per consentire l'accesso a molti siti. E fornisce anche il contenuto per questi siti ecc. Le richieste ai siti in cui l'utente è attualmente connesso di solito includono un cookie di sessione che può essere spesso usato per impersonare l'utente. A volte le richieste includono anche le credenziali di nome utente e password originali, ad esempio se l'autenticazione di base viene utilizzata dal sito. Inoltre, se la vittima utilizza un gestore di password che inserisce automaticamente le credenziali, il dispositivo USB di attacco potrebbe restituire pagine che includono moduli di accesso e alcuni Javascript e quindi estrarre le credenziali automaticamente compilate.

Si noti che questo funziona solo per HTTP e non HTTPS poiché il dispositivo USB attaccante non fornisce certificati affidabili per i siti in questione. Tuttavia, non tutti i siti utilizzano HTTPS e alcune volte forniranno l'ID di sessione anche se l'URL di destinazione è solo HTTP (cioè non è stato impostato il flag secure sul cookie).