Met een dinkske kun je een achterdeur maken op pc’s

Achterdeurtjes maken via een usb-aanval

Achterdeurtjes maken met de GifKraan van Samy Kamkar

Ik ben het niet, maar als je een beetje handig bent met computers kun je er van alles mee doen, ook als die niet van jou is en de eigenaar er niks van moet hebben. Zo maar een usb-staafje in je computer steken is net zo handig als een pil naar binnen gooien die je van een willekeurige voorbijganger hebt gekregen. Nu heeft de Amerikaanse meesterkraker Samy Kamkar een dinkske gemaakt dat je in de usb-ingang van een computer kunt steken en waarmee je voor jezelf een ‘achterdeur’ kunt maken en de computer overnemen (dus), ook als die vergrendeld is. Hij noemt zijn dinkske PoisonTap (GifKraan). Kleine hindernis is natuurlijk dat de aanvaller toegang tot de computer moet hebben.

Het dinkske installeert achterdeurtjes die gebruik maken van webprogramma’s. Die zouden een derde toegang geven tot allerlei weblocaties die de eigenaar bezoekt en ook tot diens router en daarmee netwerk. In een groot kantoor kan die toegang goud waard zijn.
PoisonTap maakt geen gebruik van gaten in programma’s, maar pakt het subtieler aan. “In veel kantorenis is het vrij makkelijk te doen. Je loopt rond, vindt een computer, steekt PoisonTap er een minuutje in en dan er weer uit”, zegt Kamkar. Ook als de computer vergrendeld is kan daarna het webverkeer worden overgenomen en de achterdeur geïnstalleerd.
PoisonTap installeert geen kwaadaardige programmatuur, maar verbergt zijn kwalijke code in het cachebestand van het webprogramma. “Dat is moeilijk te ontdekken”, zegt veiligheidsdeskundige Jeremiah Grossman van SentinelOne. “Je moet wel fysieke toegang hebben, maar dan is het ook de slimste manier om een achterdeur te creëren die ik gezien heb.”
Als PoisonTap met een Raspberry Pi-microcomputer van een paar euro en de code van Kamkar wordt aangesloten, dan wordt een nieuwe ethernetverbinding aangemaakt. Die verbinding wordt de voorkeursverbinding ook als is de computer aangesloten op een netwerk via wifi. Als die extra verbinding eenmaal is gelegd dan is het wachten op webverkeer, waarbij PoisonTap het webprogramma dan voedt met eigen, voor de gebruiker onzichtbare informatie in de vorm van (iframes) van zo’n miljoen van de populairste weblocaties.

Als die lange lijst van webadressen wordt geladen ‘verleidt’ PoisonTap het webprogramma de opgeslagen koekies te delen, die naar een tekstbestand op de usb-staaf worden geschreven. Die koekies (cookies) worden gebruikt om, onder meer, te zien of het om een terugkerende bezoeker gaat. Dat bespaart die bezoeker allerlei handelingen. Dat zou dan betekenen dat als de onverlaat met zijn PoisonTap-staaf wegloopt hij/zij dezelfde voorkeursbehandelingen krijgt op de weblocaties die de eigenaar van de computer heeft gebruikt. Dat schijnt dus allemaal in die ene minuut te gebeuren.

Wachtwoorden

Mij als leek lijkt dat allemaal nog niet onoverkomelijk. Bij de echt belangrijke dingen die je op het web doet, zoals banktransacties, heb je extra beveiligingsprocedures die niet in de koekies staan vermeld. Die ‘aanval’ is dan ook niet zo ernstig en werkt alleen bij niet beveiligde http-locaties en niet met https-locaties.
Het stelen van koekies is slechts de eerste in een reeks technieken. Het dinkske heeft ook die hele collectie bewerkte webadressen aan de websurfer van de ‘besmette’ computer doorgegeven. Het webprogramma slaat die gemanipuleerde versies van die populaire weblocaties op in de cache, een soort tussengeheugen van het programma. Dat heet dan cachevergiftiging.
Zelfs als de usb-staaf niet is aangesloten zal het webprogramma de gemanipuleerde versie van de weblocaties laden. Elk van die gemanipuleerde versies heeft een communicatiekanaal die de ‘besmette’ computer verbindt met een server die de ‘aanvaller’ heeft opgezet en beheert. Via die verborgen iframes heeft de aanvaller dan vrij spel.
Kamkar: “Het webprogramma fungeert in feite als een tunnel in zijn lokale netwerk. Hij of zij kan via het webprogramma bij de router van het slachtoffer en dan inbreken in het aangesloten netwerk. Routers zijn vaak kwetsbaar. Daardoor kan de aanvaller vrijwel alle onversleutelde communicatie afluisteren die door het netwerk van het slachtoffer gaat.”
Ik vraag me hier dan wel af wat er gebeurt als de eigenaar de cache leegt. Is ie dan van PoisonTap af?

Vergrendeling

Kamkar wil met zijn dinkske aantonen dat weglopen en de computer vergrendeld achterlaten niet voldoende is. Een oplossing zou volgens hem zijn dat het besturingssysteem om toestemming vraagt alvorens een nieuwe, in dit geval ‘besmette’, verbinding te maken. Apple reageerde niet, maar Microsoft schreef aan het (web)blad Wired dat het het beste is je computer niet onbewaakt achter te laten en je programmatuur bij te houden. Dat lijkt me in dit geval niet echt een oplossing.
Volgens Kamkar is er geen simpele oplossing voor deze usb-aanval. Je zou je computer in een ‘winterslaapstand’ kunnen zetten eerder dan in de slaapstand (ik had die nog niet ontdekt. Ook een mogelijkheid is het webprogramma af te sluiten als je van je plek wegloopt, de cache legen. Nog drastischer is je usb-aansluitingen dicht te lijmen. Kamkar: “Ik heb de oplossing nog niet gevonden.” Kennelijk werkt het legen van je cache dus niet tegen de usb-aanval.

Bron: Wired

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.