Os ataques inspirados na criatividade e na engenharia social são hoje o pronto fraco dos mecanismos de defesa das estruturas tecnológicas… e não só!
Dessa forma, uma sexy hacker chinesa criou uns sapatos para transportar ferramentas de hacking e desvia as atenções mais cuidadosas com os seus arrojados atributos.
Uma hacker chinesa esconde ferramentas de testes Wi-Fi dentro de seus saltos. Esta ‘SexyCyborg’ revelou o que usa para desviar as atenções dos dispositivos de segurança e assim ter acesso físico a edifícios fortemente defendidos.
SexyCyborg é uma bomba sexy
A jovem hacker de hardware criou um par de sapatos impressos em 3D para serem usados ao serviço do contrabando de equipamentos usados para testes de penetração nos sistemas de segurança.
A hacker, que se apresenta com o nome ‘SexyCyborg’, projectou os sapatos para ter compartimentos escondidos onde, sem retirar os sapatos, a utilizador a dos mesmos pode ter acesso aos compartimentos e retirar o que lá transporta.
Router, cabos e “abre portas”
Cada uma dessas gavetas contém equipamentos para invadir sistemas seguros. Para fins de testes, a hacker incluiu um router sem fios em execução OpenWRT com uma bateria recarregável que pode ser deixado a trabalhar dentro do sapato para fins diversos, por exemplo Wi-Fi sniffing ou outras acções de comunicação.
O router pode também ser ligado a uma tomada de rede aberta no interior dos edifícios. Assim, os atacantes podem ter a opção de ter acesso remoto via SSH.
Sobre o assunto, a hacker comentou:
Installing OpenWRT on the TL-MR10U is just like upgrading the firmware on any router. It’s two links and a button — nothing to it. There’s a lot of different software you can run once you have OpenWRT flashed.
This router may-or-may-not be running a custom version of Wispi for the TP-Link TL-MR10U because if it was it would probably be illegal in China so maybe it’s not. But if it was I could run Jasager/Karma which lets you can fake being a friendly/known Wi-Fi access point and set up a fake login page to capture passwords, among other cool tricks. Wispi also has a few other handy utilities.
Além desta engenharia, a ideia é conseguir entrar em edifícios seguros e depois espoletar todas as acções hacking. Para isso a jovem traja de forma sexy, o que poderá em muitos casos resultar e distrair o verdadeiro foco da atenção.
Para que foi elaborado este plano?
O cenário foi montado após o desafio de um empresário a um profissional de segurança, para roubar credenciais num servidor. Como toda a atenção estava virada para o “tradicional” acesso via Internet. Mas o hack foi desenvolvido como de forma directa, como se fosse um profissional TI residente.
Saltos Shoes Wu Ying funcionam mas não só…
A hacker revelou que tudo começa com o acesso às instalações e para isso teve de passar pela segurança. Usou o seu corpo como distração, assim, os segurança não conseguem ver que o perigo real está nos pés.
Este projecto veio mostrar que as empresas de segurança não podem simplesmente focar a sua atenção nos perigos que chegam pela web. Actualmente são roubados dados directamente dos edifícios e vendidos a preços exorbitantes. Isto mostra que a segurança das empresas deve ser pensada de baixo para cima, esperar e antecipar as tácticas de acesso físico, para além dos restantes ataques, já convencionais.