Ci sono stati anche attacchi basati sulla funzione di riproduzione automatica (altra fonte), anche se penso che questo sia un po 'obsoleto con i nuovi sistemi operativi come Windows 10. Ci sono anche USB-Killer che operano a livello hardware e uccidono la tua macchina inviando shock ad alta corrente.

Ecco un elenco di altri attacchi che potrebbero rientrare nella stessa categoria, inclusi ma non limitati a:

• Un attacco che in realtà emula un Adattatore ethernet USB, che quindi inietta server DNS dannosi nelle comunicazioni DHCP, potenzialmente modificando i server DNS predefiniti del computer per utilizzare questi server dannosi; i siti di interesse (e-mail, banche, e-commerce, ecc.) possono quindi essere imitati in remoto e la vittima reindirizzata ai siti imitativi tramite il server DNS dannoso.
• Attacchi che utilizzano una piccola partizione nascosta su una memoria di massa dispositivo per avviare e installare un rootkit, comportandosi comunque come un normale dispositivo di archiviazione di massa
• Vari attacchi intesi per l'esfiltrazione di dati su un dispositivo protetto (generalmente rilevanti solo per i computer protetti con air gap che l'attaccante può ottenere fisicamente accesso a, ad esempio un appaltatore con accesso a sistemi protetti)

Oltre a tutte le buone risposte precedenti, ce n'è un'altra che nessuno ha menzionato: dispositivi Ethernet basati su USB. Come l'eccellente PoisonTap.

Si può far registrare il dispositivo come dispositivo Ethernet e modificare il percorso predefinito per l'IP del dispositivo. In questo modo, ogni richiesta di testo in chiaro e ogni richiesta DNS verranno inviate ad essa e una richiesta di domini importanti (si pensi a CDN comunemente usati, come Cloudflare, Akamai e simili) può essere avvelenata.

Se viene effettuata una richiesta HTTP e la risoluzione del dominio è stata avvelenata, l'attaccante può servire un file jquery.js dannoso, ad esempio, inserire un'intestazione di scadenza molto lunga sulla risposta e avere un jquery con backdoor in esecuzione ogni sito che si collega a quello script, per molto tempo dopo aver rimosso il dispositivo dannoso.

Oltre a questo, l'attaccante può impostare un altro host sulla stessa rete e cambiare anche il gateway predefinito. In questo modo, l'aggressore è in grado di eseguire MitM contro l'host senza ricorrere all'avvelenamento da ARP: è rumoroso e può essere catturato abbastanza velocemente dai nuovi firewall. Essere il gateway significa che qualsiasi protocollo non crittografato può essere aggressore, registrato, modificato e qualsiasi segreto catturato.

L'inserimento di tasti è un buon attacco, ma la macchina deve essere sbloccata. Gli attacchi di modifica della rete funzioneranno anche se la macchina è bloccata, è sufficiente un solo processo per provare a risolvere un dominio e il risultato può essere memorizzato nella cache.

No, ce ne sono altri.

USB Killer, ad esempio, è un dispositivo che mira a danneggiare il tuo hardware applicando un alto voltaggio alle linee dati.

Un utente malintenzionato potrebbe utilizzare un tale dispositivo per indurre i dipendenti a danneggiare involontariamente l'hardware aziendale, con conseguente perdita di disponibilità e danni monetari.

Purtroppo, Stuxnet sfruttava una funzionalità di Windows che installa automaticamente i driver USB su una chiavetta USB quando inseriti a condizione che i driver abbiano firme digitali appropriate. Il virus Stuxnet aveva driver firmati con una chiave privata di proprietà di Microsoft. Non è noto pubblicamente come sia stata ottenuta quella particolare chiave privata Microsoft, se è stata rubata o se Microsoft ha collaborato all'attacco.

Stuxnet è stato progettato per violare le reti connesse a Internet in Iran. Stuxnet copiava quindi i driver su una chiavetta USB inserita nei dispositivi sulla rete infetta. Quando gli operatori negli impianti di elaborazione nucleare iraniani usavano quelle chiavette USB per spostare i dati nella loro rete sicura con air gap, i driver venivano installati su macchine dall'altra parte del gap d'aria, portando Stuxnet un passo più vicino al suo obiettivo finale: distruggere la rete controller industriali per le centrifughe utilizzate dall'Iran per raffinare l'uranio.

Almeno un virus utilizzava driver firmati con una chiave privata rubata a un produttore di dispositivi USB asiatico, che è stata successivamente revocata.

al materiale nei manuali utente della NSA Cyberwarfare, trapelato da Wikileaks, una delle opzioni di attacco è per "un breve accesso alla porta USB di un computer". Quindi presumibilmente, la NSA ha (o ha avuto) attacchi che potrebbero infettare i sistemi informatici semplicemente inserendo una chiavetta USB.

In alcuni casi, agire come un dispositivo di archiviazione di massa causerà un sacco di caos.

Qualsiasi sistema operativo che riproduce automaticamente qualsiasi cosa (non più implementato per una buona ragione in questi giorni) è vulnerabile - questo lo farà a consentire almeno all'autore dell'attacco di fare molte cose a livello di privilegio della persona che ha effettuato l'accesso; nel caso in cui si sfrutti l'escalation dei privilegi locali, anche di più.

Qualsiasi sistema operativo o ambiente desktop che visualizza in anteprima i file ... e ha un buffer overflow sfruttabile o una vulnerabilità simile in qualsiasi gestore di anteprima ... può essere fatto per fare lo stesso.

Qualsiasi dispositivo impostato per l'avvio da un supporto rimovibile può ovviamente essere fatto per fare quasi tutto, tranne quando qualsiasi informazione a cui si desidera accedere è crittografata, sebbene un dispositivo di avvio dannoso potrebbe emula perfettamente la schermata di immissione della chiave per un sistema di crittografia dell'intero disco con immissione manuale della chiave e fallo ....

Un sistema operativo che ha un buffer overflow o una vulnerabilità simile che può essere attivata con un anche il filesystem corrotto è vulnerabile. Lo stesso vale per le vulnerabilità che possono essere innescate da cambiamenti dinamici inaspettati nelle strutture del filesystem: i dispositivi di archiviazione di massa USB potrebbero essere emulati da codice attivo ...

Inoltre, un MTP o È possibile sfruttare una fotocamera / scanner personalizzato o un driver simile.

Ci sono altri esempi di attacchi USB, oltre a quelli menzionati sopra, ad esempio la PS3 è stata prima jailbreak utilizzando una chiavetta USB che si presentava come un hub USB con molti dispositivi collegati e identificatori di dispositivi appositamente predisposti. Ciò consentiva l'esecuzione del codice.

Insieme alle ottime risposte già fornite, voglio aggiungere un'esperienza di prima mano rilevante per i sistemi Windows.

Nella mia università alcuni anni fa appariva qualche USB infetto con un malware che funzionava come che:

• Quando una chiave veniva infettata, tutti i file venivano spostati in una cartella nascosta e protetta dal sistema.
• Un collegamento speciale veniva creato e rinominato con lo stesso nome di la chiave USB e l'icona per i dischi esterni utilizzati da Windows.

Quando una persona inconsapevole accede all'USB infetto, apre l'unità e quindi, senza tenerne conto, apre il collegamento. Il collegamento aprirà la cartella nascosta, ma allo stesso tempo installerà il malware sul PC.

Il malware inizierà quindi ad ascoltare nuove chiavi USB, per infettarle e inizierà anche ad ascoltare i comandi da un server remoto, probabilmente diventando parte di una botnet o simili.

Quindi sì, a volte gli attacchi USB dipendono da utenti ingenui.

L'interfaccia USB può darti accesso alla CPU se hai (o no?) le chiavi per firmare il firmware della CPU. Non ricordo dove ho letto questo, forse qualche sito web per teorie del complotto.

Non è impossibile ottenere le chiavi, guarda come Microsoft avrebbe collaborato con i creatori di Stuxnet. Intel potrebbe collaborare anche con i creatori di malware, proprio come Microsoft. Oppure i creatori di malware possono rubare le chiavi.

Una volta installato il malware nella CPU, il sistema operativo non ha modo di testare tale malware. Secondo i teorici anonimi della cospirazione, tutte le CPU più diffuse (Intel, AMD) hanno malware installato con backdoor per essere (ab) utilizzato dalle tre agenzie di lettere.

Ma probabilmente non è vero, perché tali cospirazioni non esistono nel mondo reale. Niente da vedere qui, vai a dormire.

Questo è il motivo per cui alcuni individui e organizzazioni paranoici utilizzano computer con air gap nelle gabbie di Faraday.

Penso che dovrebbe esserci un interruttore fisico (jumper) sulla scheda madre per abilitare / disabilitare gli aggiornamenti del firmware.