[:it]La startup statunitense Bastille Networks sostiene coraggiosamente di essere “la prima e unica società a rendere sicura l’azienda,”anche se non ha ancora nessun prodotto sul proprio sito web.
Ma,ciononostante, sta smuovendo le acque con una vulnerabilità chiamata Mousejacking, causata da una serie di problemi di sicurezza che la società dice di aver trovato in numerosi mouse e tastiere wireless.
I ricercatori hanno preso un dongle USB utilizzato per controllare un prodotto drone chiamato CrazyFlie e hanno violato il firmware per trasformarlo in uno sniffer mouse-tastiera.
Usando il dongle violato, noto come Crazyradio PA (PA sta per power amplifier), sono stati in grado di rilevare i protocolli di comunicazione utilizzati da quei particolari mouse e tastiera wireless che, a loro volta, si basano su dongle USB per funzionare.
NB. Il mousejacking si applica solo a mouse e tastiere USB. La ricerca di Bastille non riguarda i dispositivi Bluetooth.
Sono stati trovati vari problemi di sicurezza nel modo in cui molti dispositivi gestiscono i dati che transitano dal mouse alla tastiera del computer.
I risultati più rilevanti sono:
- I dati del mouse sono, generalmente, senza cifratura e autenticazione, in modo da poter intercettare ciò che il mouse sta facendo e, persino iniettare, falsi movimenti e clic a distanza. (Bastille afferma “fino a 100m”, anche se crediamo che tale distanza sia alquanto improbabile nell’ambiente di lavoro medio.)
- I dati della tastiera, generalmente, sono cifrati ma alcuni dongle accetteranno dati non cifrati in ogni caso. Quindi non è possibile intercettare ciò che l’utente sta scrivendo ma è possibile iniettare false battute a distanza, anche senza conoscere la chiave di cifratura.
- Alcuni dongle accettano dati della tastiera dai mouse. Quindi, se il dongle richiede tastiere cifrate ma consente mouse non cifrati, è possibile inviare sequenze di tasti non cifrati fingendo di essere un mouse. Ancora una volta, questo significa che non è necessaria la chiave di crittografia per iniettare tasti falsi.
- Alcuni dongle possono essere indotti ad associarsi ai nuovi dispositivi senza alcun intervento da parte dell’utente. Così, se il dongle è inserito, una tastiera impostore vicina potrebbe segretamente associarvisi, ottenere la chiave di cifratura e iniziare a iniettare sequenze di tasti.
Notereste, probabilmente, se qualcuno iniziasse a digitare combinazioni di tasti aggiuntivi mentre state lavorando, o spostasse il mouse in posizioni inattese.
Potreste sospettare un malfunzionamento hardware, un bug software, o perfino un malware in un primo momento; non vi aspettereste, tuttavia, d’individuare un inganno simile abbastanza rapidamente e agire di conseguenza.
Naturalmente, come sottolinea Bastille, potrebbe essere già troppo tardi, perché una tastiera vittima di un attacco controllato via software, può digitare più velocemente e maggiormente rispetto alla digitazione umana media e il danno è facile da fare anche con poche battute infette, o clic del mouse.
O potreste esservi allontanati dal computer solo per un momento senza aver bloccato lo schermo, dando a un aggressore fino a due minuti (avete il blocco automatico dello schermo di due minuti, o meno, vero?) per impossessarsi del computer da un tavolo vicino al bar.
Cosa fare?
- Bloccate sempre lo schermo quando vi allontanate dal computer Dovreste farlo sempre indipendentemente dal mousejacking: non andate via e contate sul vostro screen saver; invece, imparate la scorciatoia da tastiera per il sistema operativo scelto e usatela.
- Se avete un mouse o una tastiera USB, verificate con il produttore se il prodotto è colpito e se, o quando, sarà disponibile un aggiornamento. Bastille ha una lista dei dispositivi vulnerabili.
- Considerate l’utilizzo di una soluzione di controllo del dispositivo, se siete un’azienda preoccupata da questa minaccia. Il controllo del dispositivo può bloccare l’accesso a tipi di dispositivi USB non autorizzati (ad esempio, “tutti i mouse” o “questo prodotto specifico”), consentendo di limitare i mouse e le tastiere vulnerabili fino a quando gli aggiornamenti del firmware non saranno disponibili.
Un dongle USB molto popolare che è colpito, è il cosiddetto “ricevitore Unifying” di Logitech (sono contrassegnati da un logo arancione stilizzato che assomiglia a un sole) che funziona con tutta una serie di diversi modelli di mouse e tastiere Logitech.
Logitech ha pubblicato un aggiornamento del firmware che dovrebbe correggere Unified receiver. (È necessario Windows per eseguire il programma di aggiornamento.)
Come bloccare lo schermo immediatamente
Facile:
Sui Mac, basta una breve pressione del tasto Power. (Sui vecchi Mac, utilizzate Maiusc+Ctrl+Eject.)
Su Windows, utilizzate Windows+L.
Un fantastico hack (in senso buono) su Mac è aggiungere l’applicazione ScreenSaverEngine al Dock, così con un semplice clic potrete accedere al vostro salvaschermo in qualsiasi momento. Nel Finder, scegliete Vai| Vai alla cartella ... e inserite il nome della directory /System/Library/Frameworks/ScreenSaver.framework/Versions/A/Resources/. Trovate il file ScreenSaverEngine.app e trascinate una copia del Dock. Ora avete un’icona che lancerà immediatamente il salvaschermo.
Segui @NakedSecurity
Seguite @duckblog
Il post è stato tradotto grazie all’esplicita autorizzazione di Naked Security
Fonte : Mousejacking – what you need to know[:en]
US startup Bastille Networks boldly claims to be “the first and only company to completely secure the Enterprise,” even though it doesn’t have any products on its website yet.
But it is nevertheless making waves with a vulnerability it’s calling Mousejacking, caused by a raft of security problems the company says it’s found in numerous wireless mouse and keyboard products.
The researchers took a USB dongle used to control a drone product called CrazyFlie, and hacked the firmware to turn it into a mouse-and-keyboard sniffer.
Using the hacked dongle, known as the Crazyradio PA (PA stands for power amplifier), they were able to investigate the communications protocols used by the sort of wireless mouse and keyboard that itself relies on a USB dongle to operate.
NB. Mousejacking only applies to USB-based mice and keyboards. Bastille’s research doesn’t cover Bluetooth devices.
They found a number of security problems in the way many devices handle the data that flows from your mouse or keyboard to your computer.
The most notable findings include:
- Mouse data is usually unencrypted and unauthenticated, so you can sniff out what the mouse is doing, and even inject fake mouse-moves and clicks from a distance. (Bastille claims “up to 100m,” though we imagine that sort of distance is unlikely in the average work environment.)
- Keyboard data is usually encrypted, but some dongles will accept unencrypted data anyway. So you can’t eavesdrop what the user is typing, but you can inject fake keystrokes from afar, even though you don’t know the encryption key.
- Some dongles accept keyboard data from mice. So if the dongle requires encrypted keyboards but allows unencrypted mice, you can send it unencrypted keystrokes by pretending to be a mouse. Again, this means you don’t need the encryption key to inject fake keystrokes.
- Some dongles can be tricked into pairing with new devices without any action by the user. So if your dongle is pluuged in, a nearby imposter keyboard could secretly pair with it, get the dongle’s encryption key, and start injecting keystrokes.
You’d probably back yourself to notice if someone else started typing additional keystrokes while you were working, or moving your mouse where you didn’t expect it to go.
You might suspect a hardware malfunction, a software bug or even a malware infection at first, but you’d nevertheless hope to spot any jiggery-pokery pretty quickly and take action against it.
Of course, as Bastille points out, it might already be too late, because a software-controlled “attack keyboard” can type much faster and more consistently than the average human typist, and damage is easy to do with even a few maliciously-planned keystrokes or mouse clicks.
Or you might have wandered away from your computer just for a moment without manually locking your screen, giving an attacker as much as two minutes (you do have an automatic screen lock of two minutes or less, don’t you?) to take over your computer from a nearby table in the coffee shop.
What to do?
- Always lock your screen when you step away from your computer. You should do this regardless of mousejacking: don’t walk away and rely on your screen saver; instead, learn the keyboard shortcut for your chosen operating system and use it.
- If you have a USB mouse or keyboard, check with your vendor if your product is affected, and if or when an update will be available. Bastille has a list of vulnerable devices that it knows about.
- Consider using a device control solution if you are a business that’s worried about this threat. Device control can block access to unauthorised USB device types (e.g. “all mice” or “this specific product”), allowing you to restrict vulnerable mice and keyboards until firmware updates are available.
One very popular USB dongle that is affected is Logitech’s so-called “Unifying receiver” (they’re marked with a stylised orange logo that looks like an icon of the sun) that works with a whole raft of different Logitech mouse and keyboard models.
Logitech has published a firmware update that claims to patch the Unified receiver product. (You need Windows to run the updater.)
How to lock your screen immediately
That’s easy.
On Macs, a brief press of the Power key will do it. (On older Macs, use Shift+Control+Eject.)
On Windows, use Windows+L.
A cool hack (in the good sense of the word) on the Mac is to add the ScreenSaverEngine application to your Dock, so you’re just one click away from your screen saver at any time. In Finder, choose Go | Go to Folder... and enter the directory name /System/Library/Frameworks/ScreenSaver.framework/Versions/A/Resources/. Find the file ScreenSaverEngine.app and drag a copy the Dock. Now you have an icon that will engage the screensaver immediately.
Follow @NakedSecurity
Follow @duckblog
Source : Mousejacking – what you need to know