Upload
lylien
View
227
Download
0
Embed Size (px)
Citation preview
La defensa del patrimonio tecnológico
frente a los ciberataques
10 y 11 de diciembre de 2014
www.ccn-cert.cni.es © 2014 Centro Criptológico Nacional
C/Argentona 20, 28023 MADRID
Desmitificando Bad USB
VIII JORNADAS STIC CCN-CERT
Josep Albors Director de comunicación
ESET España
@JosepAlbors
Blogs.protegerse.com
VIII JORNADAS STIC CCN-CERT
Karsten Nohl <[email protected]> Sascha Krißler <[email protected]>
Jakob Lell <[email protected]>
VIII JORNADAS STIC CCN-CERT
Anatomía de un pendrive
CPU 8051 INTEL
BOOTLOADER
Controladora USB
Firmware Área de datos
Memoria Flash
Espacio visible
para el usuario
VIII JORNADAS STIC CCN-CERT
Identificando un pendrive Conectores y Hubs USB Sistema
Root
hub
Identificador
Ejemplos
Pendrive Webcam
Clase de Interfaz 8 - Almacenamiento 1 - Audio
14 - Vídeo
Permisos 0 - Control
1 – Transferencia de datos 0 – Control
2 – Transferencia de vídeo
3 – Transferencia de audio
4 – Micrófono
Nº de serie AA657450230000000701 0247A240
VIII JORNADAS STIC CCN-CERT
13
DATOS
Partición
Oculta
Malware
Robo de datos
Control remoto …
Instalación de malware
VIII JORNADAS STIC CCN-CERT
Interceptación del tráfico de red
Falso eth0
DHCP -- > DNS Srv
No Gateway
VIII JORNADAS STIC CCN-CERT
Operaciones malicionas desde móvil Android
Emula Eth sobre USB Atacante desvía el tráfico Atacante emula teclado Atacante infecta equipo
VIII JORNADAS STIC CCN-CERT
Mitigando ataques
Listas blancas de
dispositivos USB
Bloqueo de clases críticas
/ todos dispositivos USB
Análisis firm. periféricos
buscando malware
Firma del código para
actualizaciones de firm.
Desactivar actualizaciones
del firmware
Sugerencias Limitaciones
• Disp. USB no siempre tienen S/N único
• SO no tienen aun mecanismos de listas blancas
• Problemas de usabilidad
• Se pueden abusar de clases de dispositivos muy
básicos
• El firmware De un disp. USB normalmente solo
puede leerse con ese mismo firmware. Un
firmware malicioso puede suplantar uno auténtico
• El firmware De un disp. USB normalmente solo
puede leerse con ese mismo firmware. Un
firmware malicioso puede suplantar uno auténtico
• Simple y efectivo pero limitado mayoritariamente a
los nuevos dispositivos
VIII JORNADAS STIC CCN-CERT
Phoenix Ovipositor - Desarrollo español
Emulación de teclado y memoria USB
Keyloger simple (interno y externo)
Keylogger interno con módulo de
comunicaciones (Wifi, BT, ZigBee…)
Exfiltración de datos
Ataque a dispositivos Android como
dispositivo OTG (teclado + memoria)
Ataque a Android como dispositivo de
depuración
Síguenos en Linked in
E-Mails
Websites
www.ccn.cni.es
www.ccn-cert.cni.es
www.oc.ccn.cni.es