Bypassare firewall, IDS, IPS, sandbox ed altre protezioni è uno degli obiettivi di chi attacca, spesso usando tecniche di ingegneria sociale o hacking per avere libero accesso ad un determinato server o terminale, al fine di scoprire password, username, altri dati d'accesso o sensibili (per esempio i conti bancari oppure dati sanitari) e così fare danni, ricattare utenti oppure rivenderli.
Ma a volte la soluzione per intrufolarsi all'interno di computer e server è facile ed efficace, ma anche molto pericolosa e distruttiva. Scopriamo quindi come funziona un particolare dispositivo spesso usato dagli hacker, molto piccolo ma allo stesso tempo molto distruttivo: la Rubber Ducky.
La “USB Rubber Ducky” è una particolare tipologia di chiavetta usb, somigliante in tutto ad una normalissima chiavetta usb per scambiare file e dati, ma in realtà possiede delle proprietà eccezionali.
Rubber Ducky a forma di chiavetta USB (sembra innocente, ma non lo è :D)
Una volta collegata ad un computer viene riconosciuta come una tastiera e non come una memoria. Ciò significa sostanzialmente che il computer vittima non opporrà nessuna resistenza al suo utilizzo… è un po’ come se pensasse: ”Hey, è una tastiera, che male può farmi?”.
La Rubber Ducky contiene al suo interno una memoria (una memoria flash oppure una comunissima scheda SD), all’interno della quale è possibile salvare dei particolari script da eseguire non appena la chiavetta viene inserita. Lo scopo è quello di automatizzare le azioni possibili tramite una tastiera, quindi aprire applicazioni, digitare comandi, ecc.
La potenza di questo strumento sta nel fatto che è possibile sostanzialmente fare qualsiasi cosa entro pochi secondi… pensiamola dal punto di vista hacking: possiamo ad esempio preparare uno script che scarichi un malware da un sito web e lo esegua sulla macchina vittima. Il tutto si compierebbe nel giro di 5-7 secondi al massimo.
E’ un enorme vantaggio quando abbiamo accesso fisico alla nostra vittima ma abbiamo pochissimo tempo per lanciare il nostro attacco.
Pensiamo a cose come aprire una reverse shell, rubare credenziali, modificare il file hosts per effettuare DNS poisoning… tutto possibile nel giro di pochi secondi.
E’ chiaro che ci sono due vincoli per poter sfruttare questo strumento:
- Dobbiamo avere accesso fisico alla macchina
- La macchina vittima deve essere sbloccata
Oggi vedremo come utilizzare una particolare scheda Arduino a forma di chiavetta usb e installarci su uno sketch apposito per trasformarla in una distruttiva Rubbur Ducky.
Arduino USB :D molto pericoloso in mani competenti!
Programmare questa chiavetta è davvero di una semplicità estrema. Basta aprire il programma Arduino IDE e caricarci su lo sketch che vedete (oppure scaricarne uno dei moltissimi disponibili sul web, ma noi non ci prendiamo responsabilità in caso di danni, quindi state attentissimi!). Mi raccomando, non è un giocattolo!
Per creare una rubber ducky non serve nessuna particolare conoscenza di programmazione: basta utilizzare un semplice sito internet! comodo vero? Vediamo come fare :)
Basterà recarsi su questo sito e si aprirà una pagina web con all'interno 2 finestre, che ci permetteranno di convertire gli script per rubber ducky in script compatibili con Arduino.
Basterà quindi cercare tramite un motore di ricerca dei siti su cui sono stati pubblicati gli script che ci interessano e convertirli tramite il sito, e successivamente caricarli sulla memoria di Arduino e provarli. Massima attenzione però, mi raccomando!
Il codice che useremo per fare una prova (innocua per fortuna, giusto per far vedere come funziona il tutto) è il seguente:
DELAY 3000
GUI r
DELAY 100
STRING notepad
ENTER
DELAY 500
STRING Ciao, lettore di overVolt Blog!
Questo codice aprirà il Notepad (blocco note) e scriverà la frase qui sopra.
La particolarità di questa particolare chiavetta è dovuta al fatto che molti script sono stati progettati apposta per attaccare particolari sistemi operativi, come per esempio alcune distro Linux e anche OSX, il sistema operativo utilizzato da Apple, che solitamente sono meno soggetti ad attacchi e virus rispetto a Windows
Ricordate sempre una delle basi della sicurezza informatica: non esiste macchina o sistema inattaccabile, esistono solamente sistemi più o meno soggetti ad attacchi (come potete notare, anche Linux è perfettamente attaccabile: questa si tratta di una banalissima tastiera, pensate a cosa possa fare un sudo rm -rf */ --no-preserve-root
ben assestato!)
Quindi prestate sempre massima attenzione a quello che utilizzate, aprite oppure collegate ai vostri computer, specie se non ne conoscete i precedenti proprietari.