Este gadget de 5 dólares entra em qualquer computador em cerca de 30 segundos

Já alguma vez deixaste o teu computador “ligado” enquanto vais a um outro sítio fazer qualquer outra coisa? Certamente que já.
Mas, mesmo que o computador esteja protegido por password, ele não está seguro.

O conhecido “hardware hacker” Samy Kamkar, divulgou recentemente um badjet inspirado no Raspberry Pi Zero ligado a uma porta USB. Podes também, por conveniência, ter uma extensão USB de alguns centímetros para dares menos nas vistas.

O que este hardware (com software, claro) faz é criar uma backdoor no sistema operativo, criando assim uma ameaça de segurança em menos de 30 segundos.

 

Como isto funciona?

Uma vez ligado à porta USB, o dispositivo simula uma nova ligação ethernet. Mesmo que o computador esteja ligado a uma rede Wifi, o dispositivo “engana” o sistema operativo para que este em poucos segundos dê prioridade à rede simulada e não à rede Wifi a que está ligado.

Em seguida, o dispositivo intercepta todo o tráfego http (não encriptado) e todas as sessões de login nos sites mais populares (com rank no primeiro milhão de sites no Alexa).

Por último o dispositivo envia estes dados para um servidor controlado pelo atacante.

É ainda possível roubar cookies desde que um browser esteja aberto no momento em que o dispositivo USB é inserido.

Mas ainda há mais. Como o software captura sessões e cookies, é possível remotamente controlar a conta onde a pessoa está “logada” e por isso não é preciso passwords para aceder a essas contas – é tudo feito remotamente.

Por último, este dispositivo funciona mesmo depois de ser desligado da porta USB. Assim que é instalado, fica lá.

 

Como me posso proteger

De acordo com  o hacker, há três forma de nos protegermos em relação a isto:

  • Suspender/hibernar o computador em vez de o deixar ligado
  • Fechar as janelas do browser e limpar a cache cada vez que voltas ao PC
  • Desactivar as USB que não usas
  • Ou, claro, usar Linux, já que este “gadjet” só funciona em Windows e Mac

 

Assiste ao vídeo de demonstração aqui:


 

 

Estás interessado em ter esta “engenhoca” à qual deram o nome de PoisonTap? Compra um Raspberry Pi Zero e faz o download do código fonte, compilando depois o código com o dispositivo. Alguns conhecimentos de Raspberry Pi serão obviamente necessários.

Compra aqui a tua VPN
Partilhe no Facebook

Floating Widgets