MalDuino: BadUSB al alcance de todos

Condenado aquel que no vigile de cerca a sus puertos USB, porque una simple conexión puede convertirse en puro caos. La primera vez que hablamos sobre BadUSB fue en agosto de 2014, y después nos enteramos de su liberación al público. Ahora llega el turno de MalDuino, que en esencia es BadUSB sobre hardware open source. Una vez conectado, MalDuino se comporta como un teclado virtual que comienza a inyectar texto. ¿Qué clase de texto? Bueno… eso depende de ti.

En la serie Mr. Robot, uno de los personajes hackea una terminal utilizando al famoso accesorio Rubber Ducky. Con el script adecuado, el Rubber Ducky puede extraer de la memoria todas las contraseñas cleartext en menos de veinte segundos. El episodio dejó varios detalles técnicos sin resolver, como por ejemplo si el ordenador estaba bloqueado o no (de ser así requiere un ataque adicional antes de ingresar), pero si la comparamos con horrores al nivel de CSI (en todas sus versiones) se trató de una escena muy bien lograda. El concepto del Rubber Ducky sigue la ruta de BadUSB, un dispositivo que se comporta de modo diferente al esperado. Una vez que obtenemos acceso físico al ordenador el cielo se vuelve el límite… sin embargo, antes necesitamos una escalera.

 

Dicha escalera puede ser MalDuino, un pequeño accesorio equipado con un ATmega32u4 que asume el rol de teclado y comienza a inyectar texto. Al usar el ATmega32u4, MalDuino se perfila como una versión compacta del Arduino Leonardo, y esto a su vez habilita la programación con el IDE oficial. Habrá dos versiones a la venta. La primera de ellas será la Lite, con un total de 30 kilobytes para almacenar scripts, un LED que indica el estado de la ejecución (en progreso o completa), y un interruptor que bloquea a los scripts mientras lo programamos. La versión Elite se asemejará al Rubber Ducky, con una ranura de tarjetas microSD para guardar scripts más complejos, e interruptores que permiten su selección al vuelo.

De acuerdo a su campaña en Indiegogo, el MalDuino Lite tendrá un costo de 19 euros con envío incluido a todo el mundo, y en el caso del Elite será de 32 euros. Aún así, el proyecto es open source, y cualquiera podrá reproducir al hardware por su cuenta si desea hacerlo… lo que nos lleva automáticamente a la magia del hardware chino y genérico. Hoy puedes comprar en eBay algo parecido por menos de seis dólares y envío sin costo, siempre y cuando esperes a que termine el Año Nuevo Chino. MalDuino ya tiene toda la financiación necesaria, y las primeras entregas se harán en marzo.

Deja tu voto

-2 puntos
Upvote Downvote

Total votes: 2

Upvotes: 0

Upvotes percentage: 0.000000%

Downvotes: 2

Downvotes percentage: 100.000000%

  • Gustavo Woltmann

    Interesante dispositivo, está bien planteada esta solución de código abierto de BadUSB, con este artilugio se podría cambiar el fondo de escritorio y realizar otras travesuras.