Malafide usb-kabel maakt aanval via wifi mogelijk
Een beveiligingsonderzoeker heeft een malafide usb-kabel ontwikkeld waarmee het mogelijk is om via wifi commando's op het aangesloten systeem uit te voeren. De onderzoeker, met het alias MG, had naar eigen zeggen zo'n 300 uur en 4.000 dollar nodig om de "O.MG-kabel" te ontwikkelen.
Zodra de kabel is aangesloten op een systeem, is het mogelijk om via wifi commando's uit te voeren, net alsof een aanvaller toegang tot het toetsenbord of de muis heeft. De kabel wordt door het systeem namelijk als een HID (Human Interface Device) herkend. De computer denkt in dit geval dat de kabel een toetsenbord en een muis is. Door het toevoegen van een wifi-chip is het vervolgens mogelijk om het "toetsenbord" op afstand te bedienen. Zo kunnen er bijvoorbeeld phishingpagina's op het aangevallen systeem worden getoond, maar zijn ook andere aanvallen mogelijk.
In het verleden hebben onderzoekers vaker HID-aanvallen gedemonstreerd. Bekende voorbeelden zijn de Rubber Ducky of het aangepaste Teensy-board van Google-onderzoeker Elie Bursztein. MG laat weten dat hij een aantal kabels gaat maken voor mensen in de security-industrie. Het is nog onbekend of hij ze zal weggeven of zal verkopen. "Maar verkopen maakt ze eenvoudiger te verkrijgen", aldus de onderzoeker. In onderstaande video wordt de kabel gedemonstreerd.
Dan heb je duidelijk niet begrepen wat het doet.
Wat een zinloze opmerking. Dit is toch totaal iets anders? Dit is een USB 'laad' kabel die iedereen gebruikt, en zonder zorgen zal gebruiken, waarin een Wifi chip verstopt zit zodat jij de pc kunt overnemen op afstand. Vraag me af hoe je je hier tegen kan beschermen.....
Zoiets knutsel je zo in elkaar met een RPI zero.
Wat een sensatieartikel.
Met USB policies kan je je trouwens aardig (inderdaad, niet volledig) beschermen hiertegen door alleen bepaalde VID/PIDs toe te staan.
Met een USB-condoom.
Dat vraag ik me af. Je moet het nml vergelijken met het allereerste prototype van die cactus. Daar is ook vel tijd en geld in gestoken.
Maar als iemand zich afvroeg hoe de buurvrouw zwanger werd, dat is van alle eeuwen. De DNA onderzoekjes die daarvan bestaan wijzen uit dat in1 van de tien gevallen de vader die het kind aangeeft niet de vader is die het DNA aantoont. Beter dus maar niet altijd naar DNA vragen.
Het statistiekje gaat al vele generaties terug dus de technieken om door de security heen te komen waren ook al lang bedacht voordat de eerste pentium chip op de markt kwam, of het van van balpentester werd uitgevonden. 1 op de tien is altijd al van de melkboer geweest. Of van meneer pastoor.
Hoe daar mee om te gaan is veel relevanter dan roepen dat zulke dingen niet mogen bestaan. In dat laatste geval uit je plaatje gaan, is enkel een teken dat je nog moet bijleren. Maar pas op met naar de DNA bank te gaan, want het kan zomaar zijn dat je een Q.E.D.'tje krijgt te horen. Wat je eeuwige gelijk dan maar weer moeten proberen te verwerken. Al zeker als je weet dat dergelijke bugs al eeuwen blijken te bestaan.
ah, die kabel met " Not Available " op de website, die moeten we kopen?
Nou dat dacht ik ook, maar deze onderzoeker heeft ook USB-condooms aangepast zodat daar een zelfde soort chip in zit.... Zijn stelling is dus, als je niet weet wat er in zit, kun je geen enkele kabel of USB device vertrouwen.
Zoiets knutsel je zo in elkaar met een RPI zero.
Wat een sensatieartikel.
Erg stealthy. Ik neem aan dat het in de stekker zit zonder verdere verdikking van de kabel?
… Dit is een USB 'laad' kabel die iedereen gebruikt, en zonder zorgen zal gebruiken, ...
Ik bedoel, hoe moeilijk kan het zijn zo'n geminiaturiseerde draadloze verbinding uit z'n omhulling te slopen en in een laadkabel te prutsen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.