mboost-dp1

Raspberry Pi Foundation

Nyt rPi-software kan kompromittere en maskine på under 30 sekunder

- Via The Register - , redigeret af modgaard

Et nyt system kaldet ”PoisonTap” designet til Raspberry Pi givet bagdørsmuligheder på låste Windows- og Linux-maskiner (men ikke macOS –indtil videre).

Det kræver fysisk adgang til maskinen, og rPi-enheden skal stikkes ind i computeren i USB-porten. Derefter angiver ”PoisonTap” sig selv som en netværksenhed, det meste af internettet (den smider sig på 0.0.0.0/1). Det betyder i praksis, at computeren bliver narret til at sende alt trafik forbi PoisonTap – der derfor har mulighed for at opsnappe alt, som foregår på computeren. Det betyder i praksis at med ekstra kode, kan PoisonTap injecte og eksekvere f.eks. iframes eller cross-domain requests, fordi den kan levere sig selv som mellemmand i systemet – samtidig med den har komplet kontrol over alle cookies, den har opsnappet.

Det kan måske virke ufarligt, da det trodsalt kræver, at der puttes et USB-stick i en kørende computer, men som The Register pointerer, så kører der ofte en browser aktivt i baggrunden og sender data, i en ellers i forvejen låst computer.

Anbefalingen er selvfølgelig klar; forbind først og fremmest kun til https sider, luk browseren når computeren låses og bruges et offentlig sted – og ellers slå thunderbolt og usb fra (…og vel også firewire).





Gå til bund
Gravatar #1 - CableCat
17. nov. 2016 16:01
Det er 0.0.0.0/1 der bliver brugt. Altså kun halvdelen af internettet.

Klient får denne info via DHCP:
IP 1.0.0.10
MASK 128,0.0.0
GW 1.0.0.1
Gravatar #2 - _tweak
17. nov. 2016 17:30
CableCat (1) skrev:
Det er 0.0.0.0/1 der bliver brugt. Altså kun halvdelen af internettet.


Takker for rettelsen; i følge The Register: "PoisonTap says it's the whole IPv4 address space (from 0.0.0.0 to 255.255.255.255)" - har du en reference til ovenstående, så retter vi lige nyheden til, med kildehenvisning.
Gravatar #3 - CableCat
17. nov. 2016 20:53
Min kilde er videoen i artiklen, tid 1:41.
Gravatar #4 - _tweak
17. nov. 2016 20:56
CableCat (3) skrev:
Min kilde er videoen i artiklen, tid 1:41.

Takker - det er irriterende at linke til :) vi tager den på slump :)
Gravatar #5 - kblood
18. nov. 2016 08:21
Smart hack må jeg sige.
Gravatar #6 - kblood
18. nov. 2016 08:23
Der burde vel egentlig være en sikkerhed i styresystem generelt at det ikke skal automatisk installere og bruge USB enheder som forbindes imens computeren er låst? Hvis bare der kom en pop-up og bad om et OK til dette hvis computeren er låst, så var dette jo slet ikke et problem.
Gravatar #7 - gramps2
18. nov. 2016 09:44
_tweak (4) skrev:
CableCat (3) skrev:
Min kilde er videoen i artiklen, tid 1:41.

Takker - det er irriterende at linke til :) vi tager den på slump :)

Du er nødt til at rette tilbage, for hacket bruger 0.0.0.0/0. The Register har ret.

Hjemmesiden for hacket siger:
https://samy.pl/poisontap/ skrev:
PoisonTap responds to the DHCP request and provides the machine with an IP address, however the DHCP response is crafted to tell the machine that the entire IPv4 space (0.0.0.0 - 255.255.255.255) is part of the PoisonTap’s local network, rather than a small subnet (eg 192.168.0.0 - 192.168.0.255)

Samtidig kan man kigge hvilken kommando PoisonTab sender på Github:

[...]
ifup usb0
ifconfig usb0 up
/sbin/route add -net 0.0.0.0/0 usb0
/etc/init.d/isc-dhcp-server start
[...]
Gravatar #8 - CableCat
18. nov. 2016 21:04
gramps2 (7) skrev:

[...]
ifup usb0
ifconfig usb0 up
/sbin/route add -net 0.0.0.0/0 usb0
/etc/init.d/isc-dhcp-server start
[...]


Det er de kommandoer der bliver kørt på pi'en. Som fortæller den at alt traffik skal sendes ud af usb0, uanset destination.

Hvis PC'en for eksempel er forbundet med gigabit vil traffik til 128.0.0.0/1 gå til den, og ikke til pi'en.

Skaberen har endnu ikke offentliggjort DHCP konfigurationen:
https://github.com/samyk/poisontap/issues/16
Gravatar #9 - CableCat
19. nov. 2016 08:11
Skaberen har nu offentliggjort DHCP konfigurationen, og det er tydeligt at han har førsøgt med at bruge et 0.0.0.0/0 net, men så har opdaget at det ikke virkede imod alle platformer. Han har så ændret det til et 0.0.0.0/1 net.

0.0.0.0/1 dækker 75% af adresserene brugt på internettet.
Gravatar #10 - CableCat
19. nov. 2016 08:47
Okay 127/223 = 57%. 0.0.0.0/24 og 224.0.0.0/3 and ikke bruges på som host adresser.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login