¿Cómo un adaptador de red "falso" roba las credenciales?

2

He leído que los dispositivos que parecen unidades flash USB pueden ser tarjetas de red ocultas que luego pueden robar credenciales incluso cuando la pantalla está bloqueada. (Como el Bash Bunny)

Comprendo que al ser la red , pueden enviar tráfico de Internet a cualquier parte. Pero, ¿cómo ayudaría eso? Incluso puedo entender que si alguien está dispuesto a escribir su contraseña en un sitio no seguro ( http ), puede leer eso. Pero mientras se use https (y asumo que el tráfico automático como Windows Update, por ejemplo, incluso si enviaran algunas credenciales, estaría sobre TLS) ¿cómo leerían eso? Y además, ¿por qué cualquier tráfico automático enviaría credenciales?

Por lo tanto, mi pregunta es cómo puede una tarjeta de red oculta robar credenciales cuando no se está utilizando por un usuario (p. ej., cuando la pantalla está bloqueada)?

    
pregunta ispiro 19.02.2018 - 13:48
fuente

1 respuesta

4

El ataque sobre el que has leído es probablemente PoisonTap . Básicamente funciona porque el dispositivo USB es una computadora pequeña que emula un adaptador de red USB y proporciona direcciones y rutas IP para que la mayor parte del tráfico de red de la computadora atacada se envíe al dispositivo USB.

Es posible obtener credenciales de esta manera ya que los navegadores continúan ejecutándose si la pantalla está bloqueada y continúan actualizando los sitios en segundo plano. PoisonTap proporciona dichas "actualizaciones de sitios" e incluye enlaces a incluso más sitios dentro de la actualización para que se pueda acceder a muchos sitios. Y también proporciona el contenido para estos sitios, etc. Las solicitudes a los sitios donde el usuario está actualmente registrado normalmente incluyen una cookie de sesión que a menudo se puede usar para hacerse pasar por el usuario. En ocasiones, las solicitudes también incluyen el nombre de usuario y la contraseña originales, por ejemplo, si el sitio utiliza la autenticación básica. Y, si la víctima está utilizando un administrador de contraseñas que completa automáticamente las credenciales, el dispositivo USB atacante puede devolver páginas que incluyen formularios de inicio de sesión y algo de Javascript y así extraer las credenciales automáticamente rellenadas.

Tenga en cuenta que esto solo funciona con HTTP y no con HTTPS, ya que el dispositivo USB atacante no proporciona certificados de confianza para los sitios en cuestión. Aún así, no todos los sitios usan HTTPS y algunas veces proporcionarán el identificador de la sesión también si la URL de destino es solo HTTP (es decir, no hay un indicador secure establecido en la cookie).     

respondido por el Steffen Ullrich 19.02.2018 - 16:30
fuente

Lea otras preguntas en las etiquetas