あらゆるPC/Macから情報を抜き取れる5ドルのラズパイデバイスが公開 ～対抗手段はUSBポートをセメントで固めること

[anoncom]

セメント最高！一番好きなセキュリティ対策ツールです！

[africakennel]

セキュリティセメント入れたらパソコンが（物理的に）重くなりました。どうしたらいいですか？OSはWin10です。

[nekonokokonekoshishinokokojish]

さすが最強の軍事兵器のコンクリートの材料になっているだけあって、セメントはセキュリティ分野でも完璧だな

[kazuhooku]

MacBook充電できなくなるやん

[sisui_ro]

セキュリティしっかりしてる所だったら、予め許可されたハードウェアIDを持ったUSBデバイス以外接続しても認識されねーですよ……そんな対策してない企業が大半だがな！どうぞご相談ください！

[gfx]

ペルソナ5で見たやつだ

[nanoha3]

そうか、USB-C充電だと、ACアダプタに偽装したこいつに吸われる可能性あるな。

[TakamoriTarou]

いくらソフト的対策でセキュリティを上げても、物理的にアクセスを許したら一巻の終わり、と言う例がもう一つというところでは。無線LANのハニースポットの方が危険なような気がする。

[y-kawaz]

ネットワークアダプタとして振舞ってDNS乗っ取ってMITM仕込んで平文HTTPなhtmlレスポンスにiframe差し込む事でユーザが利用してるブラウザに任意URL(s無し)開かせてsecure属性付いてないクッキーを集める感じか？

[houyhnhm]

ん？ハードウェアとしてちゃんと見えてるなら対処のしようはあるよねえ。／てか、USBに差すんじゃなくてルーターとケーブルの間に突っ込んだりネットワークに物理的にやられてるのとあまり変わらず。

[wakame1367]

あらゆるPC/Macから情報を抜き取れる5ドルのラズパイデバイスが公開 ～対抗手段はUSBポートをセメントで固めること - PC Watch PoisonTap ハッカーのSamy Kamkar氏が公開した5ドルのRaspberry Pi Zeroで作れてしまう強力なハッキングデバ

[pochi-p]

「自己所有でないUSB挿すな」案件か。 / お外で充電なら給電専用のケーブルで解決な気も。QC2.0以上やUSB PD等要ネゴシエーションな規格は今の所どうしようもないが…。

[hirata_yasuyuki]

ここでいう「セメント」は接着剤の意味だよね。

[enviropictures]

いいね！

[junjun777]

id:erukitiさんGitHub読むとわかります。routingのrangeで通信をもらい、ブラウザによるなんらかのHTTP通信を横取りし100万のiframe付HTMLを返します。なのでなんらかの更新のあるブラウザが起動してないと成功しません。

[shodai]

イーサネットとして振る舞うところまでは分かるけど、その先が良くわかんない。イーサネットの中にあれば良いのなから、USBでつなぐ必然性すらない

[kamezo]

〈PCに関してはWebブラウザを閉じておくか、USBポートをセメントで塞ぐように助言〉ううむぅ。

[amino_acid9]

物理アクセスされた時点で負けな気がするが、お外で不用意にUSB繋いじゃダメってことか

[asamon]

クロちゃんが挿したのはこうしたもの。

[tettekete37564]

仮想ethなりすまし？少なくともこのハードウェアをつけた状態でターゲットサイトをブラウズする必要があるみたいだけど？どうやってhttpsの認証チェーンを躱しているんだろう？iframe絡むって事はCSRFかXSS？ちょっと眉唾

[z4xperia2975]

これどうたいしょすればいいの？

[richard_raw]

USBイーサネットのドライバを標準から外そう（提案）/またセメント無双か。

[maguro1111]

勝手にプロキシサーバになって勝手にHTTPリクエスト投げるって事？DHCPのくだりは誤訳混じりな気がするけど、誤訳だとしてもどうやってるのかわからん

[susieq]

[hack]これは面白そう。 詳しく知りたいな。

[shields-pikes]

“USBポートをセメントで塞ぐ”　最強の軍需産業でもある、セメント会社の株を買わないと。

[raitu]

USBtoEtherでローカルLAN接続→Webブラウザ経由でCookieとセッションを吸い上げ（GoogleやYoutube、Facebookなどに勝手に認証）→Webブラウザ改変によりバックドア生成

[aubergine]

対抗手段（物理）

[hpptms]

かわいい女スパイになってコレをＰＣに刺して、途中で責任者が入ってきてお色気で時間稼ぎしてミッションを成功させたい。

[kirifue]

これ、スパイのハック用小道具の奴や。ホントにあったんだな。 #セキュリティ

[sho]

街のUSBポートから充電してはいけない事例と、HTTPSを強制する理由がまたひとつできたってことだね。

[YukeSkywalker]

セメント万能論。

[ardarim]

危険性アピールは重要だけどあらゆる～はさすがに誇張では。USB機器制御されてればセーフだし、ログイン画面で動作できてもログインできなければ大した情報は取れないでしょ。

[akibare]

普通にHTTPSの証明書のエラーが表示されるのではないの？まあ普通の人はなんでもOKってクリックしちゃう危険性はあるけど。

[khtokage]

よく分からんのでちょっと調べたい。

[ysync]

二本目（以降）のネットワークアダプタが確認なしに経路乗っ取れるのが問題な気がする。そこの穴さえ塞げばどうという話でもないからOS側で対応してくれ。

[kukky]

駅前の陥没からPCまで、セメント万能や！！！

[kzms2]

恐ろしや…アナログ対策はサイッキョ　"また、PCに関してはWebブラウザを閉じておくか、USBポートをセメントで塞ぐように助言している。"

[yutamoty]

昔、某上場企業のセキュリティルームにある格安パソコンのUSBポートがパテで埋められてて、ツヨい……。と思った記憶あるけど、正しい対応だったな。

[nanbuwks]

記事がおかしい。ソース見るとシェルスクリプトから起動していてファームレベルの改変ではない。写真の接続だとLinux起動に1分以上かかる。「接続するやいなやほんの数秒でPCのインターネットアクセスを乗っ取り、…」

[Nean]

わぉ。よくわかんないところもあるけれど。