Vulnerar la seguridad de un ordenador nunca ha sido tan económico. Si bien escribir código toma tiempo y esfuerzo, lo que todo entusiasta de la seguridad siempre busca es una plataforma efectiva para desplegarlo, y ahí es cuando interviene el Raspberry Pi Zero. Los riesgos de dejar a un ordenador desatendido adquieren nuevas dimensiones con PoisonTap, un ataque capaz de interceptar tráfico Web incluso en un sistema protegido por contraseña, e instalar un backdoor, lo que habilita su acceso remoto.
Soy el único que toca los ordenadores en la casa, y cualquier petición relacionada con Internet pasa por mis manos, lo que me hace actuar como una especie de proxy. No se trata de una regla ni nada parecido: Saben que los ordenadores son recursos de trabajo, y que los necesito en condiciones óptimas. Algunos se apagan o entran en hibernación a los pocos minutos, y todos se encuentran protegidos por contraseña. Se supone que eso debería ser suficiente, pero ahora, traslademos estos parámetros a ordenadores públicos, terminales de oficina, y cualquier otro sistema que permanezca desatendido durante un rato. Las posibilidades de comprometer a ese sistema ya son gigantescas al obtener acceso físico, pero si no hay mucho tiempo que digamos, la idea es automatizar al extremo el ataque.
[amazon box=”B072LWBL37″]
Eso nos trae a PoisonTap, un nuevo proyecto de Samy Kamkar, a quien conocemos por vulnerabilidades en geolocalización, el SkyJack que ataca drones en el aire, y su accesorio RollJam que intercepta señales de mandos a distancia con el objetivo de abrir puertas. La base de PoisonTap es un Raspberry Pi Zero, que más allá de su pobre disponibilidad aún cuesta cinco dólares, y un poco de software, Node.js para ser precisos. En términos generales, una vez que PoisonTap es conectado a un puerto USB, engaña al ordenador de modo tal que no se presenta como un dispositivo USB, sino como una conexión Ethernet que simula ser Internet (dicho de otro modo, se convierte en gateway). Apenas el ordenador envía una solicitud HTTP desde un navegador (sea telemetría, publicidad de un sitio web, etc.), PoisonTap responde con un bombardeo de iframes maliciosos para un millón de sitios, los más importantes de acuerdo a Alexa. A esto debemos sumar la apertura de un backdoor, y la recolección de cookies y sesiones enteras, que el atacante puede gestionar desde un servidor remoto.
Los administradores de sistema pueden anular a PoisonTap desde su raíz forzando HTTPS sobre todo el tráfico generado, sin embargo, la historia es un poco más complicada por el lado de las terminales. La efectividad de PoisonTap depende de muchos factores (un ordenador cifrado y con hibernación profunda podría ignorar la conexión física por completo), pero su primer movimiento deja en evidencia un detalle que compañías como Apple y Microsoft deberían atender de una vez. Es inaceptable que un sistema operativo responda de inmediato y sin consideraciones de seguridad a cualquier cosa conectada vía USB. Una de las primeras cosas que supo aprovechar el malware fue la famosa reproducción automática (¿recuerdan a todos esos autorun.inf ejecutando basura?). ¿Cuánto debemos esperar para que se implemente una especie de «voto de no confianza automático» sobre dispositivos desconocidos apenas son conectados? En su momento nos burlamos mucho del paranoico Control de Cuentas de Usuario, pero con algo como PoisonTap suelto, nadie se está riendo…