Está aquí: Inicio Blog El ataque del ratón

El ataque del ratón

Fecha de publicación Escrito por Texpaok

El ataque del ratónAunque llevo unas semanas bastante liado con un par de cosillas (prometo volver pronto con más entradas al blog Guiño), he decidido comentar una noticia que me ha parecido muy interesante: un ataque informático a través del ratón del ordenador. Aunque en un principio puede parecer una broma, el ataque es real.

Una empresa especializada en seguridad informática, Netragard, recibe una petición de evaluación de la seguridad de un cliente con un entorno bastante limitado, que incluía una única dirección IP conectada a un firewall que no ofrecía servicios al exterior. También se excluían el uso de vectores de ataque de ingeniería social basados en redes sociales, teléfono o correo electrónico y el acceso físico al campus del cliente o sus alrededores. Con todas estas limitiaciones, la empresa fue capaz de inflirtarse en la red corporativa del cliente usando una nueva idea: equipar un ratón con un micro-controlador adicional con soporte USB (Teensy Board) para simular un teclado, añadiéndole una unidad USB flash a la configuración.

Cuando se conecta al ordenador, el controlador Teensy envía las pulsaciones de teclado al ordenador y ejecuta un software almacenado en la unidad USB flash. Esto permitió a Netragard instalar el software de control remoto Meterpeter, que como sabéis es una parte del framework Metasploit. El último paso era evitar el escáner antivirus de McAfee, para lo que usaron un exploit desconocido.

Lo único que quedaba por hacer era encontrar a algún miembro de la compañía que, una vez recibiera el ratón, lo conectara a un pc de la compañía sin levantar sospechas. Como hemos comentado, el cliente no permitía los ataques de ingeniería social, así que Netragard consiguió una lista de los empleados de la compañía a través del servicio Jigsaw y seleccionó a uno de los expertos en seguridad, enviándole el ratón en su envoltorio original camuflado como una promoción.

Aunque el ataque a través de dispositivos USB no es nuevo (los USB "olvidados" Risa son usados a menudos en los test de seguridad), sí lo es el uso de un ratón. Y es que muy pocos resisten la tentación de ver qué contiene un USB: un reciente estudio afirma que el 60% de los usuarios lo hace.

¿Se tendrán que revisar todos los dispositivos que entran en las empresas para evitar sorpresas? Puede que parezca exagerado pero, además del ataque presentado en esta entrada, existen teléfonos con Android especialmente modificados para actuar como teclados y mandar órdenes cuando se conectan a un ordenador...

Comparte este artículo

Submit to Delicious Submit to Digg Submit to Facebook Submit to Google Bookmarks Submit to Stumbleupon Submit to Technorati Submit to Twitter Submit to LinkedIn

Comentarios (0)

Cancel or

Free Internet Security - WOT Web of Trust
2011 El ataque del ratón.
Powered by Joomla 1.7 Templates