Estas aquiContenido / USB Switchblade
USB Switchblade
Váis a tener que disculparme, pero cuando os hablé de USB Dumper sólo os conté la mitad de la historia. Alguien dijo que no hay acción sin reacción, por lo que ya deberiáis haber intuido que no sólo de "dumpear" vive el hombre.
En efecto; también existe aquí el efecto contrario. Es decir, que en vez de copiar y volcar los datos de la unidad USB al PC anfitrión con USB Dumper, se puede utilizar una llave USB con USB Switchblade para robar los datos del equipo anfitrión en el que la insertamos. Puesto que se utilizan debilidades intrínsecas de Windows, es condición imprescindible que el equipo víctima esté ejecutando el sistema operativo de Microsoft y que además lo haga con permisos de administrador, como por otro lado suele ser habitual.
Los datos que pueden obtenerse y volcarse en la llave de forma silente incluyen, nada más y nada menos, que los hashes LM de las contraseñas de los usuarios (incluido el administrador)... a no ser que se haya seguido la recomendable práctica de sustituirlos por hashes NTLM (un hash MD4 de 16 bytes más seguro). Un paso posterior por RainbowCrack, por ejemplo, del fichero capturado por nuestra llave, nos permitirá obtener la contraseña...
Pero no sólo las contraseñas del sistema pueden ser capturadas por USB SwitchBlade al insertar una llave USB, sino también el historial de navegación de Explorer y Firefox, información sobre la red, contraseñas guardadas de acceso a webs, contraseñas de Messenger, claves de productos Microsoft, etc. Algunas versiones incluso permiten crear una cuenta de administrador falsa que sirve como puerta trasera o arrancar servicios VNC silentes en background. Por otro lado, USB Switchblade está en constante mejora y evolución, sobre todo en la línea de saltarse posibles defensas antivirus.
En definitiva: cualquier lector de Kriptópolis debe ser consciente de que tampoco podemos permitir que cualquiera inserte una llave USB en nuestro equipo. Afortunadamente, existen formas de desactivar estos puertos sin tener que llegar a adoptar las opciones más radicales que por aquí ya hemos comentado.
Esta vez no detallaré la forma de instalar esta herramienta, pero resulta completamente trivial y he comprobado por mí mismo que funciona a la perfección. Existen diferentes versiones, con diferentes funcionalidades y adaptadas a diferentes casos. Su facilidad de instalación y uso es aún mayor en las llaves USB con soporte U3 (como algunas de SanDisk y Memorex).
>> USB Switchblade [Hak5].
Versión para imprimir
Personalmente, la autoejecución me parece una funcionalidad muy molesta, voy a poner un ejemplo:
Mi ordenador tambien lo usa mi hermana para jugar a "Los Sims 2". Si cada uno usa un usuario distinto las partidas se guardan el directorio personal del usuario, por tanto no podemos compartir el vecindario. Así que creo un usuario "sims" y el enlace del juego ejecuta éste como ese usuario mediante el comando "runas".
¿Cual es el problema? La estúpida función de autoejecución. Meto el CD y se pone a arrancarme el juego con mi usuario. "¡Que no, idiota, tú qué sabrás para qué he metido yo ese CD!". Me toca esperar que cargue el juego para salir y volver a ejecutarlo como yo quiero. Afortunadamente descubrí hace tiempo como deshabilitar este bug/feature.
Podría poner más ejemplos, pero éste es el primero que me vino a la mente. Si para colmo esto resulta un problema de seguridad, apaga y vamonos.
Sería tan amable de decirme como se activa/desactiva esta feature de windows?
Llevo tiempo rondando la idea y no encuentro nada al respecto.
Gracias.
Inicio -> Ejecutar -> "gpedit.msc", y aceptar.
En la parte izquierda:
Configuracion del equipo -> Plantillas administrativas -> Sistema
A la derecha debería haber una opcion que pone "Desactivar reproducción automática"
Click con el botón derecho del ratón, Propiedades. Marcar en habilitar (un poco absurdo llamar habilitar a quitar una funcionalidad). Y supongo que tambien habría que elegir en el menu desplegable "Todas las unidades", aunque nunca he probado a meter cacharros usb con "autorun.inf".
Ahora no recuerdo si habría que hacer esto con cada usuario, pero teniendo en cuenta que me lo deja hacer con una cuenta sin privilegios es de suponer que sí, porque al administrador no le haría gracia que le cambien la configuracion del equipo.
yo lo he visto en una demostracion de seguridad en una feria de leon, lo utilizaban dos tios de corbata, para robar datos de un portatil. aunque con el usuario administrador pierde la gracia.
La verdad es que estas dos herramientas comentadas anteriormente son muy interesantes.
Pero lo mejor de todo es que aparentemente esta disponible su código fuente para que podamos usar lo que queramos y desechar el resto.
Me muero de ganas de tener suficiente tiempo libre para poder escudriñar estos programitas.
Y Redordad, siempre que metáis algo no confiable en una maquina con Windows:
Presionad la tecla Shift.
Sin privacidad, No hay libertad. Fingerprint: 0x8EDD4AB4
Sin privacidad, No hay libertad.
Fingerprint: 0x8EDD4AB4
Hola :)
Al descargarme http://www.hak5.org/releases/2x02/switchblade/AMISH1.0-payload.rar
El antivirus (un NOD32) me avisa de que hay un virus en el RAR.
Concretamente en mailpv.exe (Win32/Riskware.PSWTool.MailPassView.135.aplicacion
¿reconocerá el daño que se puede hacer con el archivo?
Está bien estudiar al enemigo para conocer sus debilidades.
Así de primeras en mi oficina los USBs estan DISABLED :) Y así de contentos tengos a todos...
Pero es mejor prevenir...además esta la LOPD con lo que evito posibles fugas de datos.
Un saludo
(Agur eta ondo ibili)
Mon el del Ibiza
Un saludo
(Agur eta ondo ibili)
Mon el del Ibiza
Al fin y al cabo se trata de auténtico malware y cualquier antivirus que se precie debería tratar de cortarle el paso. De hecho las diferentes variantes de esa página muchas veces lo que intentan es saltarse de alguna manera un posible antivirus.
¿Cómo se pueden deshabilitar los puertos USB sin ser tan radical? Una forma que se me ocurre es a través de la BIOS, pero lo encuentro poco útil en una empresa con cientos de ordenadores... ¿Alguna idea?
Prueba GFI languard
Un saludo
(Agur eta ondo ibili)
Mon el del Ibiza
Un saludo
(Agur eta ondo ibili)
Mon el del Ibiza