Bash bunny – A mindent IS tudó „pendrive”
A Bash Bunny a Hak5 által fejlesztett, fejlett fizikai támadóeszköz, amelyet az etikus hackerek és red team szakemberek használnak a vállalati informatikai rendszerek biztonsági tesztelése során. Bár kívülről egyszerű USB pendrive-nak tűnik, valójában egy beágyazott Linux-alapú miniszámítógép, amely többféle eszközként képes azonosítani magát a célrendszer számára. Ez a sokoldalúság teszi lehetővé, hogy különféle támadási módszereket egyesítsen, például billentyűleütések szimulálását, hálózati kapcsolatok létrehozását vagy adattárolóként való működést.
Bash Bunny, forrás: Hak5
A Bash Bunny működési elve az, hogy a csatlakoztatást követően automatikusan végrehajt előre beállított parancsokat úgy, mintha egy rendszergazda kézzel adta volna ki őket. Ehhez a felhasználó úgynevezett payload fájlokat hoz létre, amelyekben bash szkriptek és eszközspecifikus vezérlőutasítások szerepelnek. A támadás során az eszköz képes HID (Human Interface Device) módba lépni, így a számítógép billentyűzetként ismeri fel, és azonnal elfogadja a bemenetet. Ez lehetőséget ad arra, hogy például megnyisson egy parancssort, és ott tetszőleges utasításokat hajtson végre. Emellett képes USB Ethernet adapterként működni, így a célgépet egy új hálózati interfészen keresztül saját maga felé irányíthatja, amit például hitelesítési adatok megszerzésére használhat ki.
A felhasználási lehetőségek rendkívül sokrétűek. A Bash Bunny alkalmas lehet jelszavak kinyerésére, backdoor-ok telepítésére, biztonsági rések kihasználására, vagy akár konfigurációs fájlok begyűjtésére offline környezetben. Ugyanakkor nem csupán támadóeszközként használható: például biztonsági szakemberek alkalmazhatják megbízással történő offline frissítések és rendszerkarbantartási műveletek automatizálására is. A készülék képes környezeti feltételek alapján dönteni a támadás végrehajtásáról – ilyen lehet például az IP-címtartomány ellenőrzése (geofencing), vagy az aktiválás időzítése. Egyes scriptek lehetővé teszik az automatikus adattörlést is a nyomok eltüntetése érdekében, sőt bizonyos modellek távolról is újraprogramozhatók.
Az eszközt elsősorban megbízásos alapon dolgozó biztonsági szakértők használják, akik valós támadási szcenáriókat modelleznek – például azt, mi történne, ha egy támadó néhány másodpercre fizikailag hozzáférne egy számítógéphez egy vállalati környezetben. A Bash Bunny segítségével demonstrálható, milyen gyorsan és automatizált módon hajtható végre súlyos behatolás egy rendszerbe. Fontos azonban hangsúlyozni, hogy – akárcsak más biztonsági teszteszközöket – a Bash Bunny-t is felhasználhatják rosszindulatú szereplők jogosulatlan behatolásra, adatlopásra vagy kártékony szoftverek telepítésére. Éppen ezért különösen fontos az ilyen típusú támadások elleni megfelelő fizikai és szoftveres védelem kiépítése.
A védekezés ezen típusú támadások ellen több szinten valósítható meg. Az egyik leghatékonyabb módszer az USB-portok korlátozása, illetve csak megbízható, engedélyezett eszközök csatlakoztatásának engedélyezése. Endpoint protection és EDR (Endpoint Detection and Response) megoldások alkalmazása szintén segíthet felismerni a gyanús viselkedésmintákat, például a hirtelen aktiválódó HID-eszközöket vagy az automatizált billentyűleütés-sorozatokat. Emellett fizikai portzárak használata is javasolt érzékeny környezetekben, például adatközpontokban vagy ügyféladatokat kezelő munkaállomások esetén.
A Bash Bunny tehát egy rendkívül hatékony eszköz mind támadó, mind védelmi célokra, de csak megfelelő szakértelemmel és jogszerű keretek között szabad használni. A felelős alkalmazása révén hozzájárulhat a szervezetek digitális védelmének megerősítéséhez.
Screen Crab – A lehallgató rák
A Screen Crab elsősorban információbiztonsági szakemberek számára nyújt segítséget célzott megfigyelési, felügyeleti és auditálási feladatok ellátásához – például fizikai biztonsági tesztek, incidensvizsgálatok vagy compliance ellenőrzések során. Ugyanakkor az eszköz technikai képességei alkalmat adhatnak arra is, hogy illetéktelen személyek rosszindulatú célokra, például felhasználói tevékenységek titkos megfigyelésére, képernyőn megjelenő érzékeny adatok gyűjtésére vagy akár zsarolási kísérletekre használják. Az ilyen típusú visszaélések súlyosan sértik a személyiségi jogokat és a magánszféra védelmét, különösen akkor, ha a megfigyelés tudta és beleegyezése nélkül történik.
Screen Crab, forrás: Hak5
A védekezés e típusú fenyegetés ellen több szinten is megvalósítható. Mivel a Screen Crab egy fizikai eszköz, amely HDMI-kábelre csatlakozik, elsődleges védelmi vonal a fizikai hozzáférés kontrollja. Célszerű tudatosan kezelni a munkaállomások és megjelenítő eszközök környezetét: ellenőrizniük rendszeresen a kábelezést, figyeljünk a szokatlanul csatlakoztatott hardverekre, és bánjunk különösen óvatosan az ismeretlen vagy vezeték nélküli (pl. Wi-Fi-adapterrel rendelkező) eszközökkel.
Technikai szempontból a HDMI-jel titkosítása is jelenthet védelmet. Az Intel által kifejlesztett HDCP (High-bandwidth Digital Content Protection) technológia képes megakadályozni, hogy a digitális video- és hangjelet illetéktelen eszközök másolják vagy közvetlenül rögzítsék. Bár ez elsősorban szórakoztatóelektronikai tartalmak védelmére született, bizonyos környezetekben gátat szabhat a vizuális lehallgatási kísérleteknek is – különösen, ha a rögzítő eszköz nem támogatja a HDCP visszafejtését.
Összességében a Screen Crab egy kifinomult és sokoldalú megfigyelőeszköz, amely jogszerű és etikus keretek között hasznos eszköze lehet az IT-biztonsági ellenőrzéseknek. Ugyanakkor a technológia természetéből fakadóan számolni kell a visszaélés lehetőségével is, amely kiemelten fontossá teszi a megelőző fizikai és technikai védelmi intézkedések alkalmazását, különösen olyan környezetekben, ahol érzékeny információk jelenhetnek meg vizuális formában.
Malicious Cable Detector – Védelem a kártékony USB-kábelek ellen
A kiberbiztonság területén gyakran kerülnek fókuszba a veszélyes, támadó célú eszközök, ugyanakkor legalább ilyen fontosak azok a detekciós megoldások is, amelyek képesek időben észlelni a fenyegetéseket. A Malicious Cable Detector egy ilyen hardvereszköz, amely elsődlegesen a kártékony USB-kábelek – például az előző részben tárgyalt O.MG kábel – azonosítására szolgál. Bár az O.MG termékcsaládba tartozik, nem korlátozódik egyetlen gyártóra: minden, USB-kompatibilis adat- és töltőkábel vizsgálatára alkalmas, márkától függetlenül.
Malicious Cable Detector, forrás: Kamami
A készülék működése a side-channel power analysis nevű technikán alapul, amely során másodpercenként akár 200 000 alkalommal is képes monitorozni az áramfelvétel változásait. Ez az analízis lehetővé teszi, hogy az eszköz felismerje a kábel által végzett – egyébként rejtett – elektronikus műveleteket, melyek tipikusan adatlopásra vagy parancsvégrehajtásra utalhatnak. Ennek köszönhetően a detektor képes felismerni a legtöbb ismert, kártékony funkcionalitással rendelkező USB-kábelt.
Fontos kiemelni, hogy a detektor nem csupán passzív módon figyel, hanem aktív védelmet is nyújt. A működése során képes blokkolni az adatkommunikációs csatornákat, miközben a töltési funkciót fenntartja, ezáltal meggátolva az adatszivárgást a töltés során – ez különösen hasznos lehet nyilvános helyeken történő eszköztöltéskor.
Használata rendkívül egyszerű: a vizsgálni kívánt kábelt először a detektorhoz, majd azon keresztül a céleszközhöz kell csatlakoztatni. Ha a detektor LED-je világítani kezd, az potenciálisan kártékony aktivitást jelez, ellenkező esetben a kábel biztonságosnak tekinthető.
A készülék jellemzően IT-biztonsági szakemberek körében ismert és elterjedt, ugyanakkor használata bárki számára javasolt, aki rendszeresen ismeretlen eredetű vagy többfelhasználós környezetből származó kábeleket alkalmaz. A vállalati felhasználástól a magánszféráig széles körű alkalmazhatósága révén értékes védelmi eszköze lehet bármely biztonságtudatos felhasználónak.