12.01.2023 - Le chiavette USB fanno parte da tempo della vita quotidiana informatica e vengono utilizzate per archiviare dati o trasferirli da un computer all’altro. Tuttavia, molti non sanno che le chiavette USB infette possono essere utilizzate anche per hackerare i computer.
A prima vista, una chiavetta USB di questo tipo sembra una normale e banale unità flash USB. Tuttavia, se collegata a un computer, viene presumibilmente riconosciuta come tastiera. Vengono quindi eseguite sequenze di tasti predefinite, che possono attivare determinati comandi dannosi sul computer. Queste cosiddette «rubber ducky» possono generare più di 1000 parole al minuto. Sul sistema colpito, ad esempio, è possibile installare backdoor, rubare documenti o password oppure impostare autorizzazioni estese sul computer.
Rubber Ducky – una paperella per nulla innocua
Quando si sente la parola inglese «Rubber Ducky» o quella italiana «paperella di gomma», la prima cosa che viene in mente sono i giocattoli per bambini. Ma nel mondo della pirateria informatica questo termine ha un significato ben diverso: una simile chiavetta USB infetta è un popolare strumento di hacking.
L’espressione «Rubber Ducking» deriva dalla storia della programmazione. Uno dei metodi utilizzati per scovare eventuali errori nel codice di programmazione prevede di leggere e spiegare il codice riga per riga a una paperella di gomma gialla. In questo modo i programmatori notano eventuali errori. La paperella di gomma funge da ascoltatore e permette di non disturbare nessun altro. Con le «rubber ducky» anche i comandi vengono elaborati riga per riga. Per automatizzare i compiti amministrativi, è stato sviluppato uno strumento che imita la digitazione dei comandi sulla tastiera. I comandi ricorrenti vengono generati ed eseguiti riga per riga dal dispositivo. Tuttavia, ciò ha dato vita anche all’idea di attacchi «keystroke injection», ovvero l’inserimento di comandi da tastiera tramite una chiavetta USB. Questo metodo si è evoluto fino a diventare oggi un sofisticato strumento di hacking.
Come funziona l’attacco «keystroke injection»?
Lo strumento USB finge di essere una tastiera del PC e quindi ha gli stessi diritti d’utilizzo della vittima seduta davanti al computer. Sullo strumento (la «rubber ducky») vengono memorizzate le sequenze di tasti o i comandi da eseguire utilizzando il linguaggio «ducky script». Una volta collegata al computer, la chiavetta viene riconosciuta come tastiera e le sequenze di tasti o i comandi preprogrammati vengono eseguiti sul computer.
Attenzione alle chiavette USB regalate o trovate per caso
Ma come si fa a convincere una vittima a inserire una simile chiavetta USB nel proprio computer? Attraverso l’ingegneria sociale. In questo tipo di attacco, caratteristiche come fiducia, paura, rispetto per le autorità o curiosità vengono abilmente sfruttate dagli aggressori. Una sottovariante dell’ingegneria sociale è il cosiddetto «baiting» (in italiano: adescare). In questo caso, gli aggressori fanno leva sulla curiosità della vittima. Il tipo di «baiting» più noto consiste nel collocare chiavette USB all’ingresso dei locali di un’azienda, ipotizzando che i dipendenti trovino la chiavetta e, per curiosità, la inseriscano immediatamente in un dispositivo aziendale. Le chiavette USB possono tuttavia essere distribuite anche come regali promozionali. Tali chiavette vengono offerte in molte varianti ai visitatori di conferenze o mostre. Non tutte però sono regalate con buone intenzioni e possono includere anche «rubber ducky» infette. Ma anche un notebook incustodito, ad esempio in treno o a una conferenza, può essere compromesso da un aggressore sfruttando questo metodo se riesce a collegare in breve tempo la chiavetta al dispositivo senza farsi notare.
La nuova versione dello strumento è ancora più sofisticata
Nell’agosto del 2022 un produttore di hardware per l’hacking, ha rilasciato una nuova versione dello strumento. Le versioni precedenti erano già in grado di creare finte finestre pop-up per rubare le credenziali di accesso di un utente o indurre il browser a inviare tutte le password salvate al server web di un aggressore. Nell’ultima versione, i dati rubati possono anche essere salvati sul dispositivo USB. In questo modo l’aggressore può inserire la chiavetta per pochi secondi e poi rimuoverla con tutti i dati memorizzati. Ciò significa che non è più necessaria una connessione a Internet per inviare i dati.
Consigli:
- Non collegate mai al computer dispositivi USB sconosciuti.
- Non lasciate mai il computer incustodito in luoghi pubblici.
Ultima modifica 12.01.2023
