Jeśli interesowaliście się kiedyś historią włamywania się do systemów, z pewnością nie umknął Waszej uwadze sposób, który dawał hakerowi ogromną przewagę - fizyczny dostęp do maszyny. Korzystał z tego już choćby Kevin Mitnick, włamując się do terminali, korzystają z tego współczesne firmy, prowadzące testy penetracyjne. Choć dzisiejsze systemy i oprogramowanie chroniące wydają się dobrze przygotowane na ataki zdalne, bezpośredni dostęp do sprzętu - na przykład portu USB - jest już poważnym zagrożeniem.
Dowiódł tego Rob Fuller, inżynier bezpieczeństwa z R5 Industries. Odkrył on podatność, która dotyczy nie tylko Windows, ale także i Mac OS X. Po podłączeniu mini-komputera wielkości pendrive'a do portu USB wystarczy 30 sekund, by zdobyć choćby dane logowania z komputera-hosta. Co istotne, system nie musi być wówczas w pełni uruchomiony - dane pozyskać można z ekranu logowania (ekranu blokady). Proces ten możecie zobaczyć na wideo autorstwa Fullera:
No dobrze, ale jak to działa? Wszystko wyjaśnia specjalista z R5 Industries: "To, co widzicie na wideo, to USB Armory podłączony do zablokowanego (ale zalogowanego) systemu. Bootuje się poprzez zasilanie USB i uruchamia serwer DHCP oraz Responder [aplikacja, której autorem jest Fuller]. Gdy to się dzieje, ofiara widzi go jako adapter Ethernet. Ofiara podejmuje następnie decyzję o wyborze sieci i zaczyna przesyłać dane wychodzące, które trafiają do Armory zamiast do 'prawdziwego' połączenia z siecią. Responder wykonuje swoje zadanie, odpowiadając na wszystkie żądania uwierzytelnienia ze strony serwisów, a jako że większość systemów operacyjnych traktuje sieć lokalną jako 'zaufaną', żądania uwierzytelniania są wykonywane automatycznie. Gdy baza danych Respondera zostaje zmodyfikowana, Armory wyłącza się (LED staje się ciągły)".
Czy powinniśmy zacząć się martwić o firmowe komputery i czekać na łatki do Microsoft i Apple? Niekoniecznie. Rob Fuller zapowiedział już, że opublikuje metodę zapobiegania tego typu atakom. Mimo wszystko do tej pory były one możliwe do przeprowadzenia (i nadal są - na nieskonfigurowanych odpowiednio maszynach), na co powinni zwrócić uwagę przede wszystkim administratorzy.
341f31d.png)