La consultora de seguridad informática I-SEC alertó sobre una nueva tendencia para cometer ataques cibernéticos mediante la simple conexión de dispositivos USB a la computadora.
Gracias a la tecnología U3, los dispositivos de almacenamiento de datos, como las llaves de memoria o los reproductores de MP3, son capaces de ejecutar programas desde el mismo hardware, sin necesidad de instalar nada en la PC.
Y así como esto posibilitó la creación de aplicaciones específicas para utilizar desde dispositivos portátiles (clientes de correo, navegadores de Internet y hasta servidores web), también fueron descubiertas herramientas desarrolladas para vulnerar los mecanismos de seguridad y robar datos, entre ellas, Switchblade, Hacksaw y Chainsaw.
La metodología . En el caso de los usuarios de Windows XP SP2, el ataque resulta sencillo si el intruso utiliza un dispositivo USB con tecnología U3: sólo deberá conectarlo a la PC para que el sistema operativo lo reconozca y ejecute la acción.
Por el contrario, si se tratase de un USB tradicional (por ejemplo un iPod), la intervención del usuario sería necesaria puesto que el sistema podría ofrecer diferentes alternativas de acción a seguir.
El riesgo . Mediante esta técnica de hackeo , un atacante podría:
o Extraer los License Key de los productos de Microsoft.
o Extraer las contraseñas en texto plano del historial de programas como el MSN Messenger o el Skype.
o Extraer las contraseñas de correo electrónico.
o Extraer los hashes de las contraseñas de acceso al sistema.
o Instalar herramientas para el acceso y administración remota del sistema.
o Rastrear y enviar información al atacante de los sistemas vivos en la red objetivo.
Prevención. Existen varias medidas para disminuir los riesgos por ataques de este tipo, desde la instalación de software específico para el bloqueo de los puertos USB, hasta la aplicación de derechos y permisos por políticas de seguridad.
Sin embargo, la consulta de seguridad resalta que “la concientización de los usuarios sigue siendo el talón de Aquiles de toda pérdida de información”.
