¿Cuán inofensivo puede ser un usb?

Algunas veces encontrarse con un usb puede convertirse en un golpe de suerte, ya sea por la alta capacidad que esté posee o por el diseño.

Para otras personas puede ser la oportunidad de volverse un detective, y con mucha curiosidad conocer del dueño y contactarse para poder entregar el dispositivo perdido en las manos adecuadas o hacer borrón y nuevo uso.

En fin, hay muchas historias detrás de un objeto perdido, lo que hoy nos queremos preguntar es que sí se toman las medidas necesarias.

Hoy les contaré un poco lo que sucedió en la universidad de Illinois Urbana en Estados Unidos. Donde se realizó la investigación que tuvo como objetivo dejar en diferentes lugares del campus 297 pendrives, y determinar que sucedía con ellos.

Dejando contenido peculiar y que se vea “normal”, mas al ser conectado el usb se ejecutaba el código malicioso quien realizaba una comunicación con un servidor para ser controlada la sesión del usuario por el atacante. Al final le indicaban el motivo de su ataque de ingeniería social y su ayuda en una encuesta. El 45% de los usuarios no tomó las medidas necesarias para examinar el dispositivo.

Sea cual sea el motivo, puede ser víctima de un ataque de ingeniería social, dispositivo de interfaz humana (HID) o driver 0 day. De esta manera pueden aprovechar la debilidad o falla, del hardware o del software exponiendo contenido sensible a terceros.

Tipos de ataque

 Tipo de ataques y comparación entre los pros y contras. [Vía Elie Bursztein]

Para evitar este tipo de ataques es necesario tener buenas prácticas en el manejo de la tecnología y seguir los procedimientos necesarios para reducir este tipo de actividades.

Demostración del ataque realizado en la universidad de Illinois. [Vía Elie Bursztein]

Para mi próxima entrega les tendré algunas sugerencias de como proyectarse frente a un ataque usb.

[Universidad de Illinois Urbana vía Elie]