Una de las técnicas de robo de información de forma local es la llamada ‘USB Dumping’. Ésta técnica consiste en realizar un copiado de la información de cualquier dispositivo USB que se conecte a nuestro equipo, de forma totalmente transparente al usuario.
Éste tipo de ataques puede resultar útil en entornos de trabajo en los cuales un compañero te pide la impresión de un documento, y para ello te proporciona un pendrive en el cual está el documento a imprimir junto con un montón de datos que el usuario, descuidadamente, mantiene en el mismo dispositivo.
De este modo, al conectar el dispositivo USB para la impresión del documento, se estará produciendo un copiado al completo del contenido del disco y, aunque el propietario del pendrive esté atento a las acciones realizadas sobre el mismo, le será imposible detectar que se ha realizado una copia de toda su información.
Desde Seguridad Apple hemos desarrollado un pequeño script que realiza esta tarea y que puedes tener corriendo siempre en tu sistema Mac OS X para ver que «cazas«. Normalmente la gente suele mezclar en sus pendrives personales documentos de trabajo, datos de intercambio y cosas de alto nivel de intimidad. El código es el siguiente:
function saveDefaultDevices() { rm -rf /tmp/usblist /tmp/Volumes mkdir /tmp/Volumes for vol in /Volumes/* do echo $vol >> /tmp/usblist echo «Detecting $vol as default» done }
function checkDevices() { for vol in /Volumes/* do aux=`cat /tmp/usblist |grep -i «$vol»` aux=`echo $?` if [ $aux -eq 1 ]; then echo $vol >> /tmp/usblist mkdir «/tmp$vol» echo «[+] Dumping $vol in /tmp$vol» sleep 1 cp -R «$vol» «/tmp/Volumes/» echo «[+] Done» fi done }
saveDefaultDevices while [ 1 ]; do checkDevices sleep 1 done
El funcionamiento del script es muy sencillo. Únicamente es necesario ejecutarlo mediante el comando ‘sh usb.sh’, y esperar a que se introduzca un nuevo dispositivo USB. Será en este momento en el cual el script detectará su presencia y comenzará a realizar su volcado en el directorio «/tmp/Volumes/«.
Como se ve en las capturas de pantalla, tras realizarse el volcado de “/Volumes/Untitled”, se puede acceder a su contenido copiado en ”/tmp/Volumes/Untitled/“
Ten mucho cuidado donde pinchas un pendrive ya que el peligro no es sólo que se infecte, sino que te roben todos los datos que en él tengas sin que te des cuenta.