pt Portuguese

Кабелът o.mg elite е плашещо скрит инструмент за хакване

Това зарядно за телефон прави ли повече, отколкото си мислите?

Не мислех, че ще се страхувам от USB кабел, докато не отидох на Def Con. Но тогава за първи път научих за кабела O.MG. Пуснат на прословутата хакерска конференция, Cable Elite ме взриви с комбинация от техническа мощ и изключително скрит дизайн.

Просто казано, можете да нанесете много щети с дръжка, която не се държи по начина, по който целта ви очаква.

КАКВО Е?

Това е просто обикновен, нормален USB кабел - или това е, което един хакер би искал да мислите.

„Това е кабел, който изглежда идентичен с други кабели, които вече имате“, обяснява MG, създателят на кабела. „Но във всеки кабел поставих имплант с уеб сървър, USB комуникация и Wi-Fi достъп. Така че се включва, включва се и вие можете да се включите в него.“

Това означава, че този обикновен на вид кабел всъщност е проектиран да следи данните, преминаващи през него, и да изпраща команди до всеки телефон или компютър, към който е свързан. И да, в самия кабел има вградена Wi-Fi точка за достъп. Тази функция съществуваше в оригиналния кабел, но най-новата версия идва с разширени мрежови възможности, които го правят способен на двупосочна комуникация през интернет – слушане на команди, получени от контролен сървър и изпращане на данни от всяко устройство, към което е свързано обратно нападателят..

КАКВО МОЖЕ ДА НАПРАВИ?

Посочвайки отново, че това е съвсем нормално изглеждащ USB кабел, мощността и дискретността му са впечатляващи.

Първо, подобно на USB Rubber Ducky (което също тествах на Def Con), кабелът O.MG може да извършва атаки с инжектиране на ключове, като подвежда целевата машина да мисли, че е клавиатура и след това въвежда текстови команди. Това вече предлага огромен набор от възможни вектори за атака: използвайки командния ред, той може да стартира софтуерни приложения, да изтегли зловреден софтуер или да открадне запазени пароли за Chrome и да ги изпрати по интернет.

Той също така съдържа keylogger: ако се използва за свързване на клавиатура към хост компютър, кабелът може да записва всяко натискане на клавиш, което минава през него, и да записва до 650.000 XNUMX ключови записа във вграденото си хранилище за по-късно извличане. Твоята парола? Регистриран. Данни за банкова сметка? Регистриран. лоши чернови на туитове, които не сте искали да изпратите? Също така влязох.

(Това вероятно ще изисква физически достъп до целевата машина, но има много начини за извършване на „атака на злата прислужница“ в реалния живот.)

И накрая, за вградения Wi-Fi. Много атаки за „ексфилтрация“ – като кражбата на парола за Chrome, спомената по-горе – разчитат на изпращане на данни през интернет връзката на целевата машина, което рискува да бъде блокирано от антивирусен софтуер или правилата за конфигуриране на корпоративна мрежа. Интегрираният мрежов интерфейс заобикаля тези защити, давайки на кабела собствен комуникационен канал за изпращане и получаване на данни и дори начин за кражба на данни от цели, които са „въздушни“, т.е. напълно изключени от външни мрежи.

По принцип този кабел може да разкрие вашите тайни, без да знаете.

КОЛКО Е ЗАПЛАХА?

Страшното при ефрейтор O.MG е, че е строго секретно. Държейки кабела в ръката си, наистина нямаше нищо, което да ме накара да подозирам. Ако някой го беше предложил като зарядно за телефон, нямаше да се замисля. С опции за Lightning, USB-A и USB-C връзки, той може да се адаптира към почти всяко целево устройство, включително Windows, macOS, iPhone и Android, така че е подходящ за много различни среди.

За повечето хора обаче заплахата да бъдат набелязани е много ниска. Версията Elite е на цена от $179,99, така че това определено е инструмент за професионално тестване за проникване, а не нещо, което измамник от ниско ниво може да остави да лежи наоколо с надеждата да улови цел. Все пак разходите са склонни да спадат с времето, особено при рационализиран производствен процес. („Първоначално направих това в гаража си на ръка и ми отне четири до осем часа по кабел“, каза ми MG. Години по-късно фабрика сега се грижи за сглобяването.)

Като цяло има шансове да не бъдете хакнати с O.MG кабел, освен ако няма нещо, което да ви направи достойна мишена. Но е добро напомняне, че всеки, който има достъп до чувствителна информация, трябва да внимава какво включва в компютър, дори и с нещо толкова безобидно като кабел.

МОГА ЛИ ДА ГО ИЗПОЛЗВАМ САМ?

Не съм имал възможност да тествам кабела O.MG директно, но съдейки по онлайн инструкциите за настройка и опита ми с Rubber Ducky, не е нужно да сте експерт, за да го използвате.

Кабелът изисква първоначална настройка, като например флашване на фърмуера на устройството, но може да бъде програмиран чрез уеб интерфейс, достъпен от браузър. Можете да пишете скриптове за атака в модифицирана версия на DuckyScript, същия език за програмиране, използван от USB Rubber Ducky; когато тествах този продукт, открих, че е доста лесно да се запозная с езика, но също така забелязах няколко неща, които биха могли да попречат на неопитен програмист.

Като се има предвид цената, това няма да има смисъл като първа хакерска джаджа за повечето хора – но с малко време и мотивация, някой с базова техническа основа може да намери много начини да я пусне в действие.

Обща сума
0
Акции
Предишна
Moderna съди Pfizer заради ваксината им срещу коронавирус

Moderna съди Pfizer заради ваксината им срещу коронавирус

Компанията завежда дела за нарушаване на патенти срещу Pfizer

Напред
Илон Мъск казва, че Tesla Cars ще се свърже с новите сателити за клетъчно излъчване на Starlink

Илон Мъск казва, че Tesla Cars ще се свърже с новите сателити за клетъчно излъчване на Starlink

Използвайки същата технология, току-що обявена в партньорство с T-Mobile

Recomendado