vendredi 28 septembre 2012

Emulateur de clavier à base de Teensy. Alternative à l'USB S3.

Il existe différentes classes d'attaques par clé USB. Par exemple par ingénierie sociale on peut partager des documents en espérant qu'un utilisateur l'ouvre sans se soucier des effets secondaires. Mais on a aussi une version automatique de cette attaque avec les clés USB S3 qui simulent un lecteur CDROM et profitent donc de la fonction autorun de Windows pour exécuter des commandes de manière automatique. Pour lutter contre ce genre d'attaque les administrateurs désactivent l'autorun par défaut et bouchent les ports USB avec de la glu. De plus, les dernières versions des différents systèmes d'exploitation ne sont plus aussi "naïf" lors du traitement de l'insertion d'un appareil compatible autorun. L'attaque est donc toujours possible mais limitée. C'est là que le Teensy offre une alternative difficile à contrecarrer.

Le Teensy est une carte comportant un micro contrôleur de type AVR donc compatible avec l'environnement de développement Arduino. L'intérêt par rapport à une carte Arduino classique est sa taille et le support de base de l'USB. Le Teensy ne coute que 16 dollars et fait à peu prêt la taille d'une clé USB. Branché sur un PC, quelque soit l'OS il émule au choix un clavier, une souris ou un joystick. Il respecte le protocole USB-HID qui gère les protocoles d'entrée sortie, a l'inverse de la clé USB S3 qui suit le protocole USB-Storage. On peut par l'intermédiaire du Teensy effectuer des opérations clavier/souris à la manière d'un humain mais ceci de manière automatique et programmable.
Les avantages pour un hacker sont multiples:

  • Comme le Terminator le Teensy ne se fatigue pas, il tape plus vite que vous et ne fait pas d'erreur de frappe.
  • Il est plus discret de brancher une clé USB que de taper toute une succession de commande.
  • Il ne dépend absolument pas de l'autorun activé
  • Il fonctionne quelque soit le système d'exploitation

Un Teensy peut être utilisé dans des attaques extrêmement variées. Tout dépend de ce qu'il est programmé pour faire:

  • Installation automatique de logiciel
  • Exécution de programme à partir du Teensy, à partir du PC, à partir du réseau, ...
  • Création de compte utilisateur
  • Copie de fichier sur le Teensy pour les récupérer plus tard, upload vers Internet, ...
  • Forme de Cross Site Request Forgery en accédant à des sites internet avec les cookies du PC attaqué.
  • Etc. Les possibilités sont infinies.



Le Teensy est un parfait exemple des attaques orientées hardware qui sont de plus en plus fréquentes. Firmware infectés, système embarqués malicieux, chevaux de Troie par l'intermédiaire d'appareils extérieurs à l'entreprise, routeurs contaminés, etc. La partie logiciel s'étant nettement renforcée depuis 10 ans (du moins pour les OS) il est de plus en plus intéressant de les contourner en s'attaquant directement au hardware, moins surveillé et moins rodé aux attaques. Le Teensy utilisé de cette façon (car il est important de préciser que son utilisation frauduleuse n'est pas son ambition de départ) est particulièrement pernicieux puisque se faisant passer pour un clavier il est très difficile de le différencier d'un humain.

Aucun commentaire:

Enregistrer un commentaire