USBNinja: cable USB que permite hacer ataques a distancia a través de bluetooth
A simple vista parece un simple cable USB pero en realidad encierra un peligro potencial: se puede usar para lanzar ciberataques a la distancia. Se trata de USBNinja y viene en varios formatos (Micro USB, USB tipo C y Lighting).
El producto es una evolución de BadUSB, presentado en 2014, y que demostró que se podía insertar el malware en el firmware del pendrive. En este caso, el cable tiene un control de bluetooth que se activa de manera remota a través de una app o pequeño gadget.
Cuando el cable recibe la orden, inyecta el malware en el dispositivo en el cual esté conectado: computadora, tablet o celular.
USBNinja fue desarrollado por la firma RFID Research Group. Se trata de una herramienta que permite hacer pruebas de pentesting en el ámbito de la seguridad informática. La presentaron a través de una plataforma de financiamiento colectivo y ya lograron reunir más de USD 27.700, casi el triple del objetivo que se habían planteado.
El pentesting o pruebas de penetración consiste en la realización de ataques cibernéticos controlados a sistemas informáticos con el fin de identificar vulnerabilidades y corregirlas.
Este cable es una herramienta, como tantas otras, que desde el punto de vista del experto en seguridad informática, ayudan a evaluar la seguridad de dispositivos e infraestructura, pero si cae en manos equivocadas puede ser utilizada para hacer ciberataques.
De hecho, esto es lo que plantean los desarrolladores de este cable. Ellos buscan alertar sobre la facilidad con que se pueden realizar estos ataques para generar conciencia en los usuarios; y, por otra parte, ofrecen una herramienta para que los expertos en seguridad puedan utilizar dentro de sus análisis informáticos.
"Este cable es similar a otros dispositivos que hemos visto, con Arduino se pueden crear dispositivos que cumplan funciones similares para que ejecuten algún código malicioso. Esta tecnología podría ser usado por un cibercriminal, como para robar información o incluso por un empleado disconforme que quiera hacer algún tipo de daño en la empresa", explica Camilo Gutiérrez Amaya, jefe del laboratorio de investigación de ESET. "En última instancia, cuando hablamos de tecnología, no podemos decir que sea buen o mala, es el uso que le den las personas", concluye.
Los creadores dicen que USBNinja es muy versátil y que también se puede utilizar para hacer bromas, algo que podría ocurrir si se utiliza para descargar un código que, por ejemplo, permita mover el mouse a la distancia. También podría servir para inyectar mensajes de amor, en vez de códigos maliciosos. Al menos eso explican los creadores.
Pero cuando ese pequeño tablero recibe la orden, a través de un control remoto o una app diseñada específicamente para estos fines, inmediatamente descarga el código malicioso en el equipo en el que está conectado.
El control remoto funciona hasta a una distancia de 100 metros y la carga que se quiera ejecutar se puede programar a través de Arduino IDE. El dispositivo cuesta USD 99 y los desarrolladores están usando una plataforma de financiamiento colectivo para este proyecto.
Fuente: Infobae
El producto es una evolución de BadUSB, presentado en 2014, y que demostró que se podía insertar el malware en el firmware del pendrive. En este caso, el cable tiene un control de bluetooth que se activa de manera remota a través de una app o pequeño gadget.
USBNinja fue desarrollado por la firma RFID Research Group. Se trata de una herramienta que permite hacer pruebas de pentesting en el ámbito de la seguridad informática. La presentaron a través de una plataforma de financiamiento colectivo y ya lograron reunir más de USD 27.700, casi el triple del objetivo que se habían planteado.
El pentesting o pruebas de penetración consiste en la realización de ataques cibernéticos controlados a sistemas informáticos con el fin de identificar vulnerabilidades y corregirlas.
Este cable es una herramienta, como tantas otras, que desde el punto de vista del experto en seguridad informática, ayudan a evaluar la seguridad de dispositivos e infraestructura, pero si cae en manos equivocadas puede ser utilizada para hacer ciberataques.
De hecho, esto es lo que plantean los desarrolladores de este cable. Ellos buscan alertar sobre la facilidad con que se pueden realizar estos ataques para generar conciencia en los usuarios; y, por otra parte, ofrecen una herramienta para que los expertos en seguridad puedan utilizar dentro de sus análisis informáticos.
"Este cable es similar a otros dispositivos que hemos visto, con Arduino se pueden crear dispositivos que cumplan funciones similares para que ejecuten algún código malicioso. Esta tecnología podría ser usado por un cibercriminal, como para robar información o incluso por un empleado disconforme que quiera hacer algún tipo de daño en la empresa", explica Camilo Gutiérrez Amaya, jefe del laboratorio de investigación de ESET. "En última instancia, cuando hablamos de tecnología, no podemos decir que sea buen o mala, es el uso que le den las personas", concluye.
Los creadores dicen que USBNinja es muy versátil y que también se puede utilizar para hacer bromas, algo que podría ocurrir si se utiliza para descargar un código que, por ejemplo, permita mover el mouse a la distancia. También podría servir para inyectar mensajes de amor, en vez de códigos maliciosos. Al menos eso explican los creadores.
Cómo funciona
En la punta del cable que se inserta en el dispositivo se creó una unidad que se activa por medio de bluetooth. Por fuera esto no se ve, USBNinja luce como cualquier otro cable e incluso sirve para transmitir datos o cargar las baterías del equipo, por ejemplo. Tiene un metro de largo, es blanco y, como se mencionó anteriormente, con tres conectores: Micro USB, USB tipo C y Lighting.El control remoto funciona hasta a una distancia de 100 metros y la carga que se quiera ejecutar se puede programar a través de Arduino IDE. El dispositivo cuesta USD 99 y los desarrolladores están usando una plataforma de financiamiento colectivo para este proyecto.
Fuente: Infobae
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!