BadUSB práctico: ataque y defensa
mayo 1, 2017
0

Hace apenas unos tres años las investigaciones de Karsten Nohl y Jakob Lell que presentaron en la conferencia de seguridad Black Hat revolucionaron el panorama de la seguridad pues pusieron sobre la mesa una vulnerabilidad que parecía el inicio de un apocalipsis informático y que llegaban en forma de vulnerabilidad en los dispositivos USB. Este fue el origen de los llamados BadUSB que parecía que iban a sembrar el pánico destruyendo todo a su paso. Pero ni tanto ni tan poco. Es cierto que los BadUSB suponen un riesgo muy importante para la seguridad pero el tiempo ha llegado a demostrar que esta amenaza, aunque muy real, no ha alcanzado esos niveles que podían presuponerse en un principio.

BadUSB son dispositivos modificados (principalmente pendrives) gracias a una técnica que permite modificar el firmware de los USB para hacerlos pasar por un teclado u otro dispositivos y así poder cargar código en los dispositivos en los que se conecte que bien pueden ser ordenadores o dispositivos móviles algo que suena cuanto menos interesante o inquietante, según se mire.

Así que para conocer más en profundidad en qué consiste BadUSB tanto desde un punto de vista de ataque como de defensa en esta ocasión comparto la charla que ofrecieron Ernesto Sánchez y Joel Beleña en la comunidad Hack&Beers con motivo de las Jornadas de seguridad informática MorterueloCON. Debo reconocer que grabé esta charla a pulso y con el ruido propio de un restaurante en el que se cena mientras se ofrece una charla al puro estilo H&B así que pido disculpas por adelantado a todos aquellos que consideren que la calidad de la imagen o del audio podía ser mejor.

Ernesto Sánchez (@ernesto_xload), interesado en la seguridad informática, el hacking, el hardware y DIY, mayormente autodidacta, emprendedor actualmente trabajando en Phoenix Intelligence Security y Joel Beleña (@Jow_BL) es estudiante de Ingeniería informática en la UPM, donde trabaja como becario en un laboratorio haciendo análisis de malware.

 

BadUSB: ataque y defensa. Contramedidas

La charla para analizar los dispositivos BadUSB tanto desde la perspectiva de ataque como desde la defensa, y que está disponible a continuación tanto en vídeo como en podcast, está estructurada en tres partes a cargo de Ernesto Sánchez más la parte práctica sobre dispositivos móviles realizada por Joel Beleña:

  • Una parte de introducción en la que se explica el origen y qué es BadUSB, se detallan los dispositivos usados y los tipos de ataques que suelen ser muy dirigidos por las características que distinguen a estos dispositivos que se modifican para un fin particular.
  • Otra parte más práctica dedicada al ataque donde se describe en profundidad el Phoenix Ovipositor: componentes, funcionamiento, expansiones y posibilidades de ataque.
  • La parte práctica centrada en los dispositivos móviles como vectores de ataque que resultó más explicativa por 'el efecto demo'.
  • La última parte dedicada a defensa con un repaso a cinco contramedidas que se pueden poner en marcha para evitar el efecto dañino de los BadUSB: medidas en el ordenador y en el hardware, el control de dispositivos de ESET, Shielducky, Patito hunter y en dispositivos móviles.

En esta ocasión la recomendación ideal para complementar esta charla sería el ciberdebate "Ciberarmas ¿un peligro en manos de cualquiera?" y obviamente la charla sobre ArDucky, lo que viene siendo un Rubber Ducky construido con arduino.

 

¿Te ha gustado? Déjame abajo un comentario y comparte la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!

Vídeo

Podcast

¿Te unes al conocimiento innovador para recibir mis novedades por newsletter?

Nombre

Correo electrónico

He leído la Política de Privacidad de la web. Acepto expresamente los términos y condiciones y consiento el tratamiento de mis datos personales.

Información básica sobre Protección de datos.

Responsable del tratamiento de datos: Yolanda Corral. Finalidad: Gestionar las suscripciones a la web para estar informados de nuevas publicaciones y novedades. Legitimación: Contar con tu consentimiento expreso. Destinatarios: Yolanda Corral como encargada del tratamiento de datos, adoptando las necesarias medidas de seguridad y confidencialidad. Derechos: Tienes derecho de información, a acceder, rectificar, limitar y suprimir tus datos tal y como puedes ver detalladamente en la Política de privacidad de esta web así como en el aviso legal.

AVISO LEGAL - PRIVACIDAD - COOKIES

¿Te gustaría seguir el blog por correo electrónico?

Si deseas recibir notificaciones al instante de las nuevas entradas en tu correo, aquí puedes hacerlo. Al hacer clic en el botón "Seguir" declaras expresamente que has leído y aceptas la Política de Privacidad y el Aviso legal de mi web.

Yolanda Corral
Soy licenciada en Periodismo especializada en TICs, ciberseguridad, YouTube, redes sociales y contenidos online. Cuento con un máster en Community Management y siempre estoy en continuo aprendizaje. Fundadora de las jornadas de Seguridad Informática PaellaCON y dinamizadora de Hack&Beers Valencia. Fundadora del canal divulgativo HangoutNEO y del canal especializado en ciberseguridad Palabra de hacker.

Curiosa por naturaleza, apasionada de la comunicación, abanderada de la educación, la transformación digital y la seguridad digital, amante del social media y coleccionista de momentos. Como formadora imparto talleres y doy charlas sobre seguridad digital, TICs, redes sociales, YouTube, LinkedIn, marca personal, empleo 2.0, alfabetización digital, marketing de contenidos... Dime qué necesitas y lo doy todo. ¡Conectemos en las redes!
Yolanda Corral on GoogleYolanda Corral on InstagramYolanda Corral on LinkedinYolanda Corral on TwitterYolanda Corral on Youtube

Déjame un comentario pero antes debes atender a esta información básica sobre Protección de datos. Responsable del tratamiento de datos: Yolanda Corral. Finalidad: Gestionar y moderar los comentarios realizados en la web. Legitimación: Contar con tu consentimiento expreso. Destinatarios: Yolanda Corral como encargada del tratamiento de datos, adoptando las necesarias medidas de seguridad y confidencialidad. Derechos: Tienes derecho de información, a acceder, rectificar, limitar y suprimir tus datos tal y como puedes ver detalladamente en la Política de privacidad de esta web así como en el aviso legal. ¡Gracias!

Este sitio usa Akismet para reducir el spam. Conoce cómo se procesan los datos de tus comentarios.