Raspberry Pi-værktøj ransager din låste computer på 30 sekunder

Der sidder da et USB-C stik, har den ikke det samme problem?

Jo og thunderbolt har også det problem.

Det samme hack kan laves på OSX maskiner (såfrem det er en af dem Apple havde råd til at putte USB stik i)

Kunne det ikke fixes ved at Microsoft begrænsede Windows så der ikke kan installeres drivere til enheder mens skærmen er låst.</p>
<p>Det er da i sig selv en fejl at en låst computer stadigvæk bare installerer hvad som helst der puttes i den.

Det er et generelt problem i den måde USB er tænkt at skulle virke. Det samme hack kan laves på OSX maskiner (såfrem det er en af dem Apple havde råd til at putte USB stik i)

2) Operativsystemet installerer blindt en USB-enhed som et netkort.
3) Der benyttes ukrypteret internettrafik.

Ad 3) Måske man skulle plage browser producenterne. Hidtil har det været sådan at websitet fortæller browsere at den skal skifte fra http til https. Det kunne jo laves om, så browseren automatisk prøvede https først. Det behøver kun være første gang den går på en server, efterfølgende ved den om https er understøttet eller ej.

Background reload bør også kunne slås fra nå en tab ikke er aktiv. Jeg fandt denne her opskrift, jeg ved ikke om det løser problemet.https://smallbusiness.chron.com/stop-pages-constantly-updating-53404.html

Hej Lars, det der sker er at al netværks trafik bliver sendt over til pi enheden, så det er i princippet kun http trafik at man kan fidle med.

Enheden prøver så vha. at ændre http pakker at injecte javascript, i de sider der hentes, at hente yderligere sider (top 1 mill sider), for at få de browser cookies brugeren evt. har liggende som login token på de sider.

Udover det "forgifter" han også cachen af de sider, så indholdet af dem altid indeholder hans javascript. Her kan man bare cleare cachen i sin browser for at slette den del.

Alle sites (der gemmer fortroligt materiale) benytter så vidt jeg ved https, ved login, så jeg ser ikke den store værdi i det.

Det er et cool proof of concept, men det kræver at man har fysisk adgang til maskinen, at browseren kører (og laver requests i baggrunden), for at man kan få noget ud af det.

Man kan efter at man har fundet ud af hvilke sider brugeren er på indsætte sin javascript kode, som så fremover vil køre når brugeren besøger siden (pga. cache).

Her den obligatoriske post omkring titlen på artiklen.

Det jeg så I videoen ligner for mig at se blot, at den nuværende netværkstrafik sniffes og her udelukkende http delen.

Jeg ser ikke, at der ransages noget på computeren, men snarere er der tale om en aflytning.

Correct me if I am wrong.

hvornår skal eks usb tastatur og mus indlæses?

eller kan de (alle typer) være funktionsdygtige uden ekstra driver?

Kunne det ikke fixes ved at Microsoft begrænsede Windows så der ikke kan installeres drivere til enheder mens skærmen er låst.

Det er da i sig selv en fejl at en låst computer stadigvæk bare installerer hvad som helst der puttes i den.

Her er der jo to-tre-fire ting, der går helt galt:

1. Der kræves fysisk adgang til maskinen.
2. Operativsystemet installerer blindt en USB-enhed som et netkort.
3. Der benyttes ukrypteret internettrafik.
4. Der forudsættes at der ikke er en firewall til at afgrænse udadgående trafik (ex. firewall)

Det er nok ikke alle, der har en punkt 4, men som jeg læser det, kan du fjerne én af de tre, og så vil exploitet ikke længere virke. Punkt 2 skal du nok plage din operativsystemleverandør om (den kan jo så evt. genkende "godkendte" USB-devices, men der er selvfølgelig riscisi ved det også, da de jo kan aflures og efterlignes.)

Gad vide hvad hulen der efterhånden skal til for at kunne have sine data i fred? (og samtidig kunne bruge sin computer til at browse med osv...)