Raspberry Pi-værktøj ransager din låste computer på 30 sekunder

17. november 2016 kl. 08:5810
På bare 30 sekunder kan værktøjet PoisonTap, der er bygget på Raspberry Pi, overtage kontrollen med trafikken på din computer.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Det tager bare 30 sekunder og koster kun fem dollars at installere en bagdør i din Mac eller PC.

Et nyt værktøj kaldet PoisonTap, skabt af den velkendte hacker Samy Kamkar, kan udnytte en hvilken som helst PC eller Mac, også selvom den er låst. Den eneste, det kræver, er, at en browser er åben i baggrunden.

PoisonTap er bygget på en Raspberry Pi Zero og kører på gratis software. Så snart den er tilsluttet en USB-port, efterligner den en netværksenhed og angriber alt ukrypteret webtrafik, som den så sender til en server under hackerens kontrol. Alle cookies fra websites, der ikke anvender HTTPS-kryptering, stjæler PoisonTap også.

Samtidig installeres en bagdør, der gør, at både webbrowser og lokale netværk kan fjernstyres af hackeren.

Artiklen fortsætter efter annoncen

Samy Kamkars formål er ifølge arctechnica.com at sætte spot på de kompromisser, vi indgår i forhold til sikkerhed og privatliv i en verden, hvor alt efterhånden styres af computere.

Kildekoden og de tekniske deltajer bag PoisonTap er offentliggjort på Samy Kamkars blog.

En videodemonstration er ligeledes tilgængelig på Youtube.

Remote video URL

10 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
8
18. november 2016 kl. 08:47

Kunne det ikke fixes ved at Microsoft begrænsede Windows så der ikke kan installeres drivere til enheder mens skærmen er låst.</p>
<p>Det er da i sig selv en fejl at en låst computer stadigvæk bare installerer hvad som helst der puttes i den.

Det er et generelt problem i den måde USB er tænkt at skulle virke. Det samme hack kan laves på OSX maskiner (såfrem det er en af dem Apple havde råd til at putte USB stik i)

7
17. november 2016 kl. 22:26

2) Operativsystemet installerer blindt en USB-enhed som et netkort.
3) Der benyttes ukrypteret internettrafik.

Ad 2, så er det ikke bare netværk, efterligning af keyboard kan også være et problem. Et kompromis kunne være at computeren ikke loader usb devices når den er låst.

Ad 3) Måske man skulle plage browser producenterne. Hidtil har det været sådan at websitet fortæller browsere at den skal skifte fra http til https. Det kunne jo laves om, så browseren automatisk prøvede https først. Det behøver kun være første gang den går på en server, efterfølgende ved den om https er understøttet eller ej.

Background reload bør også kunne slås fra nå en tab ikke er aktiv. Jeg fandt denne her opskrift, jeg ved ikke om det løser problemet.https://smallbusiness.chron.com/stop-pages-constantly-updating-53404.html

6
17. november 2016 kl. 14:29

Hej Lars, det der sker er at al netværks trafik bliver sendt over til pi enheden, så det er i princippet kun http trafik at man kan fidle med.

Enheden prøver så vha. at ændre http pakker at injecte javascript, i de sider der hentes, at hente yderligere sider (top 1 mill sider), for at få de browser cookies brugeren evt. har liggende som login token på de sider.

Udover det "forgifter" han også cachen af de sider, så indholdet af dem altid indeholder hans javascript. Her kan man bare cleare cachen i sin browser for at slette den del.

Alle sites (der gemmer fortroligt materiale) benytter så vidt jeg ved https, ved login, så jeg ser ikke den store værdi i det.

Det er et cool proof of concept, men det kræver at man har fysisk adgang til maskinen, at browseren kører (og laver requests i baggrunden), for at man kan få noget ud af det.

Man kan efter at man har fundet ud af hvilke sider brugeren er på indsætte sin javascript kode, som så fremover vil køre når brugeren besøger siden (pga. cache).

5
17. november 2016 kl. 14:04

Her den obligatoriske post omkring titlen på artiklen.

Det jeg så I videoen ligner for mig at se blot, at den nuværende netværkstrafik sniffes og her udelukkende http delen.

Jeg ser ikke, at der ransages noget på computeren, men snarere er der tale om en aflytning.

Correct me if I am wrong.

4
17. november 2016 kl. 13:25

hvornår skal eks usb tastatur og mus indlæses?

eller kan de (alle typer) være funktionsdygtige uden ekstra driver?

3
17. november 2016 kl. 12:47

Kunne det ikke fixes ved at Microsoft begrænsede Windows så der ikke kan installeres drivere til enheder mens skærmen er låst.

Det er da i sig selv en fejl at en låst computer stadigvæk bare installerer hvad som helst der puttes i den.

2
17. november 2016 kl. 11:27

Her er der jo to-tre-fire ting, der går helt galt:

  1. Der kræves fysisk adgang til maskinen.
  2. Operativsystemet installerer blindt en USB-enhed som et netkort.
  3. Der benyttes ukrypteret internettrafik.
  4. Der forudsættes at der ikke er en firewall til at afgrænse udadgående trafik (ex. firewall)

Det er nok ikke alle, der har en punkt 4, men som jeg læser det, kan du fjerne én af de tre, og så vil exploitet ikke længere virke. Punkt 2 skal du nok plage din operativsystemleverandør om (den kan jo så evt. genkende "godkendte" USB-devices, men der er selvfølgelig riscisi ved det også, da de jo kan aflures og efterlignes.)

1
17. november 2016 kl. 10:59

Gad vide hvad hulen der efterhånden skal til for at kunne have sine data i fred? (og samtidig kunne bruge sin computer til at browse med osv...)