PoisonTap连接到USB端口,并宣布自己不是USB
设备,而是以太网接口。计算机很高兴从吸电池的Wi-Fi切换到
,并发送DHCP请求,要求
分配IP。 PoisonTap做出了响应,但这样做似乎使
实际上不是大量IP地址存在于服务器上,而是通过这种伪有线连接在局域网内本地连接
您甚至不必在那里:诸如分析和广告之类的预加载项将处于活动状态,并且其中之一一旦发送HTTP请求,
BAM,PoisonTap会对大量的Alexa网站进行数据缓存恶意iframe进行响应。那些配备了后门的iframe会一直呆到周围,直到有人将其清除。我的主要问题是:
人们容易遭受PoisonTap黑客攻击吗?
以下几点似乎是相关的:
普通人群是否处于危险之中,还是只有一个非常特定的子集(操作系统,浏览器?)
什么是确切的风险,您的数据,您的gmail帐户...?
大多数人都可以使用它吗,还是取决于特定的硬件和高水平的技能?
每次走到另一个房间问一个简短的问题时,是否都可以轻松完成一些操作,而无需关闭所有浏览器或关闭PC。 (将其锁定就足够了吗?)
当然,如果它看起来很糟糕:我们能否期望尽快进行更新以使再次上厕所更安全?
#1 楼
首先,攻击者需要对计算机具有物理访问权限,才能将设备插入USB端口。这意味着不可能进行任何形式的完全远程利用。但是,如果计算机屏幕已用密码或类似密码锁定,则它确实可以工作。请注意,物理访问并不一定是直接的,也可以是一些易受骗的用户将捐赠的USB闪存盘插入系统中。然后该设备宣布自己为USB以太网设备。这意味着计算机将尝试将PoisonTap作为网络设备添加到系统中,并使用DHCP从中获取IP地址。 DHCP响应将返回带有/ 1子网的IP地址,以便大多数IPv4流量发送到设备。从那时起,攻击者就可以像路由器一样对设备进行相同的访问:实际上,该设备可以充当被攻击计算机的路由器。这意味着可以轻松地嗅探和修改任何流量,但是仍然可以保护加密的连接免受解密并检测到修改。例如,这意味着通过https(通常的方式)对gmail的访问不会受到损害。
最后,这只是本地攻击者的另一种方法。攻击的影响可媲美通过ARP或DHCP欺骗重定向某人的流量,劫持本地路由器或恶意访问点。这些攻击无法做更多,但也不少。该软件似乎带有一些不错的攻击,该攻击会修改未加密的HTTP连接以访问不同的站点,从而使使用频繁使用的脚本(例如,受毒的Google Analytics(分析)等)毒化浏览器缓存。由于许多站点都包含此类第三方代码,并且此类代码可以访问整页,因此中毒的代码可能会提取很多有用的信息。但同样,这仅适用于HTTP而不适用于HTTPS。
当前的大多数系统都处于危险之中,但攻击者需要物理访问。 br />嗅探和修改未加密的连接。 Gmail通常是加密的,因此不会受到影响。
是大多数人都可以使用的东西,还是依赖于特定的硬件和高水平的技能? br />
它需要特殊的硬件和软件,但硬件价格便宜并且已发布软件。它需要与ARP或DHCP欺骗之类的攻击大致相同的经验,即脚本小子可以做到这一点。
是否可以轻松完成一些事情,而无需关闭所有浏览器或关闭每次您走到另一个房间询问一个简短问题时,请关闭计算机。 (是否足够?)
针对其他基于USB的攻击的常规保护措施仍然有效,即禁用USB或限制设备的种类。但是请注意,如果设备具有以太网端口,则可能会遭受类似的攻击,因为大多数系统都倾向于使用有线连接来取代无线连接。
评论
评论不作进一步讨论;此对话已移至聊天。
–Rory Alsop♦
16年11月20日在10:17
“首先,攻击者需要对计算机具有物理访问权限,才能将设备插入USB端口。”并不是的。攻击者可能是大量生产USB记忆棒的公司(一家)。他们“只是”不得不将其代码潜入棍子的固件中。您作为用户将操纵杆放入PC中。我认为这是这次攻击中最隐秘的部分。作为比较,TomTom就其当前的自动导航硬件范围而言,正是这样做的。出于任何反常原因,它们的设备通过注册新的接口/ IP,然后通过该接口注册TCP / IP,从而与PC软件进行通信。
– AnoE
16年11月20日在10:19
@AnoE:如果考虑到USB记忆棒的制造商或分销商的攻击,您还应该包括内置NIC的恶意固件,恶意OS,恶意BIOS / UEFI,恶意路由器和交换机,恶意ISP,恶意系统管理员等。这些都是可能的攻击媒介,我认为所有这些都不属于这个问题的范畴。
– Steffen Ullrich
16-11-20在10:22
无处不在的USB记忆棒(每次超级市场结账时只需1欧元即可拿到)和内置设备(其中有99%的消费者不知道实际存在的内置设备,能够更换的设备很少)之间仍然存在很大差异。另一方面,例如商界人士交换USB记忆棒等。我的意思不是说攻击者必须一定是供应商,而是没有必要对攻击者进行物理访问。
– AnoE
16-11-20在10:28
@AnoE:没错,攻击者不需要直接物理访问,但间接物理访问就足够了,即在其他人的无意帮助下。但据我所知,通常只关心攻击是否需要物理访问(相对于远程攻击),而不管是直接还是间接。
– Steffen Ullrich
16-11-20在10:35
#2 楼
“ PoisonTap”可以做什么的范围等同于您插入/连接到的恶意局域网或wifi接入点已经可以完成的工作。在这两种情况下,如果您对任何重要的事情使用未加密的(例如,纯http)连接(提供登录凭据,浏览敏感内容,下载可执行代码或可能包含格式错误的数据的数据文件),都有各种严重的危险。利用这些漏洞利用应用程序中的错误等),但是加密连接的风险可以忽略不计。而且,建立伪造的访问点对攻击者而言,比将某些东西插入受害者的笔记本电脑中的风险要低得多,因此我不知道为什么有能力的攻击者会选择PoisonTap方法。评论
我的印象是,该设备旨在在传统的公司台式机环境下工作,在这种情况下,办公室中的固定盒连接到有线以太网LAN,即该机器没有wifi或没有wifi。不习惯。 (或者,我想,如果您有一台安全配置为仅通过wifi连接到给定的相互身份验证RADIUS网络的计算机。)话虽如此,我同意这样一个普遍的想法,即这似乎是对现有设备的一种有趣的改进被某些人大肆宣传的改变游戏规则的方法。
–大多数情况下
16年11月18日在3:34
@halfinformed:当然,由于您无法拔出以太网电缆并将其插入恶意设备...
–R .. GitHub停止帮助ICE
16年11月18日在5:03
#3 楼
该攻击仅在本地访问时才可行,并且仅在自动dhcp启用随机连接的网络硬件的系统上才可行。可悲的是,三个主要的操作系统都这样做了,但是其他一些更关注安全性的操作系统(例如OpenBSD和友人)却没有。可以预见,由于这种攻击,Windows,MacOS和Linux可能会改变其行为,以偏重于安全性而非便利性。但是只有在这一个领域中,直到有人找到另一种方法来利用他在不同领域中的安全性与安全性权衡方面的立场。评论
人们还开始认为,消费者操作系统的DHCP客户端应该拒绝DHCPOFFER,因为子网掩码会导致子网掩码的宽度大于/ 16(毕竟,这些TCP / IP堆栈无法希望管理如此大的ARP表)
– Ben Voigt
16年11月17日在21:11
@Mark:当然,有A类分配,但是它们中的任何一个都可以作为单个子网运行吗?就像我说的那样,如果要连接到一个消费级的TCP / IP堆栈,则已经遇到了麻烦,因为这将需要ARP表的庞大大小。
– Ben Voigt
16年11月17日在22:16
为什么它需要/ 0子网而不是网关?
–JDługosz
16年11月18日在1:26
@BenVoigt不能完成任何事情,因为USB设备是默认网关。他们只是在做代理arp,因为他们很懒。
– Navin
16年11月18日在10:11
@BenVoigt很好,但是没有其他方法可以影响度量标准,例如呈现100G接口?
– Navin
16年11月18日在18:23
#4 楼
当您走进另一个房间问一个简短的问题时,有什么事情可以轻松完成的,而不必关闭所有浏览器或每次都关闭计算机。 (锁定就足够了吗?)
我现在的解决方法是在手工屏蔽脚本之前,在锁定屏幕之前禁用USB端口,如下所示:
@echo off
:: Disable USB port(s)
REG ADD HKLM\SYSTEM\CurrentControlSet\services\USBSTOR /v Start /t REG_DWORD /d 0x4 /F
:: Lock screen
tsdiscon
评论
请注意,发布者对其中的大多数观点都提出了主张,但是对于能够从更客观的角度发表评论的人,我将感到非常高兴。这不是模拟一个公共访问点(即星巴克,机场等)来吸引人们与您建立联系,以便您可以在中间攻击中进行攻击吗?那么标准的MitM缓解措施将适用吗? (即确保所有流量在离开您的计算机之前都已加密)
@Johnny除了可以模拟公共访问点外,不需要坏演员亲自接近您的机器并将某些东西插入其中,而这在您冲浪时仍会插入。
我不明白为什么有人会使用PoisonTap而不是仅仅使用USB记忆棒来通过Plug-n-Play安装恶意驱动程序。如果禁用了PnP,则PoisonTap都不起作用。但是,恶意驱动程序可以自由做任何事情,比PoisonTap更好。解决方案是禁用PnP。
@ user21820:我不认为您了解PnP如何安装驱动程序。它不会从插入的设备中下载驱动程序,而是使用识别信息(对于USB,这涉及USB枚举和字符串描述符)来搜索自己的驱动程序数据库。将驱动程序添加到该数据库可能需要管理员操作(例如在Linux上编辑/etc/modules.conf)和/或通过签名验证(例如Windows Update)。加载任意代码不是PnP的功能。