Tenho visto que muitas empresas têm certa dificuldade em entender ou aplicar alguns conceitos de proteção porque não há um entendimento claro dos tipos de riscos a que estariam expostas.

O uso de dispositivos desconhecidos em computadores no ambiente corporativo é um deles e a principal causa dessa não assimilação de conceitos se deve à descrença: as pessoas não sabem que alguns dispositivos maliciosos são de fato uma ameaça devido à "romantização" que eles ganham em filmes e séries.

O objetivo deste artigo é principalmente desmistificar esse conceito de que "isso só acontece em filmes", pois esses dispositivos são realmente muito acessíveis e podem ser usados como parte de uma estratégia de comprometimento por alguém com más intenções.

Aqui estão alguns exemplos de gadgets que qualquer pessoa pode adquirir, mas o universo dos gadgets é mais amplo e há até mesmo alguns que são criados por criminosos para servir a propósitos específicos.

Ducky e Bunny

No topo da lista estão duas das ferramentas que considero extremamente versáteis e que podem causar prejuízos significativos ao host ou até mesmo a todo o ambiente.

rubberducky
Imagem 1: Rubber Ducky.

À primeira vista, ambos os dispositivos se assemelham a pendrives, mas as semelhanças terminam aí. Começando pelo Rubber Ducky, um dos primeiros dispositivos desenvolvidos com essa abordagem, ele é capaz de emular um dispositivo de interface humana (HID), como um teclado, para que o sistema em que atuará o considere confiável e aceite suas interações.

O dispositivo, que deve ser pré-configurado para executar determinadas ações, foi criado para ajudar pentesters e profissionais de segurança a automatizar tarefas e realizar análises de ambiente, mas, como acontece com outras boas ferramentas, pode ser usado de forma criminosa.

bashbunny
Imagem 2: Bash Bunny.

O Bash Bunny é a evolução do Rubber Ducky, mantendo a característica de ser reconhecido como um dispositivo confiável pelo sistema, mas com recursos ainda maiores, tendo a possibilidade de carregar dois ataques previamente configurados, bem como a possibilidade de acessar o modo de administração da ferramenta.

Diferentemente de seu antecessor, ele tem a possibilidade de exfiltrar dados diretamente para a própria memória interna, pois suporta o armazenamento por meio de um cartão MicroSD, além de realizar diversos tipos de ataques mais rapidamente por possuir um hardware mais robusto e focado para essas atividades.

Observações: todos os recursos de script presentes no Rubber Ducky também estão disponíveis no Bash Bunny. Ambos os dispositivos têm a capacidade de exfiltrar para um dispositivo externo, como um pendrive ou um disco rígido externo, se os ataques visarem arquivos maiores.

Riscos potenciais:

As possibilidades oferecidas pelas ferramentas incluem a instalação de software malicioso, a criação de usuários ou a criação/habilitação de serviços para persistência, coleta de informações e várias outras possibilidades.

O.MG

3omg
Figura 3: O.MG.

Seguindo a linha de dispositivos extremamente funcionais e ocultos estão os cabos O.MG. Visualmente, eles não diferem em nada dos cabos usados para recarga de smartphones e têm muitas funções disponíveis para ambientes comprometedores.

Do meu ponto de vista, esses cabos têm três diferenciais muito significativos: não levantam nenhuma suspeita, a própria vítima pode solicitar o uso do cabo malicioso e ele pode ser gerenciado remotamente. Isso mesmo, o cabo pode ser controlado remotamente por meio de uma página da Web, permitindo o envio de comandos em tempo real ou a alteração de parâmetros, se necessário.

Riscos potenciais:

Ele pode funcionar de forma semelhante ao Rubber Ducky e ao Bash Bunny, executando scripts pré-preparados, além de poder atuar diretamente como um keylogger se for inserido diretamente na comunicação do teclado.

Observação: os cabos O.MG têm conexões para todas as principais entradas presentes nos smartphones no momento em que este artigo foi escrito.

Flipper Zero

flipper
Imagem 4: Flipper - Flipperzero.org.

Há algum tempo, publicamos um post sobre algumas das possibilidades presentes no Flipper Zero, uma das ferramentas que se tornou viral na comunidade de segurança por conter vários tipos de ferramentas em um único dispositivo.

O dispositivo tem a capacidade de interagir com vários tipos de comunicação sem fio, bem como a capacidade de conectar um cabo USB para outros tipos de interação. O objetivo da ferramenta é permitir o desenvolvimento ou o aprimoramento dos recursos disponíveis para o ambiente, mas, por ter tantas possibilidades, a ferramenta também se distorceu.

Riscos potenciais:

Entre as possibilidades, o dispositivo pode permitir o acesso a locais restritos, controlar remotamente vários tipos de dispositivos, clonar TAGS RFID e até mesmo executar scripts do mesmo tipo que os executados pelos dispositivos acima, o que também aumenta significativamente a gama de opções disponíveis para a ferramenta.

Mais um gadget para você se preocupar

tp-link- bad1
Imagem 5: Adaptadores Alfa e TP-LINK.

Por fim, gostaria de mencionar as placas de rede Wi-Fi, as ferramentas mais famosas nesse meio são as placas Alfa, pois estão no mercado há muito tempo e são amplamente utilizadas para pentest em redes Wi-Fi.

No caso específico dessas placas de rede, o que realmente importa é o chipset que ela possui, pois é ele que permite a alteração do modo de operação, desde que uma placa de rede Wi-Fi tenha um chipset que permita o modo "Monitor", como é o caso de uma placa de rede TP-Link que pode ser adquirida em qualquer país da América Latina.

Riscos potenciais:

As placas de rede com esse recurso, se usadas corretamente, podem identificar e realizar interações criminosas, mesmo para redes supostamente ocultas (que não revelam seu SSID).

Entre as interações criminosas mais comuns está o ataque que derruba dispositivos já conectados à rede Wi-Fi para monitorar sua reautenticação e, assim, roubar a chave para descriptografá-la. Outros ataques conhecidos incluem o Rogue AP e o Evil Twin.