Darren Kitchen creó la nueva encarnación de la querida herramienta de piratería para coincidir con la conferencia de piratería Def Con de este año. Estuvo presente para explicarlo y probar algunas de las nuevas funciones. Descubrimos que la última edición es más peligrosa que nunca.
¿Qué es Rubber Ducky?
El USB Rubber Ducky parece una unidad flash USB para el ojo humano. Sin embargo, cuando lo conectas a un ordenador, éste lo ve como un teclado USB. Esto significa que la máquina acepta comandos de teclado del dispositivo como si una persona los estuviera escribiendo.
Todo lo que escribe es confiable en la misma medida en que se confía en el usuario, así que aprovecha el modelo de confianza incorporado, donde se les ha enseñado a los ordenador a confiar en un humano. Y un ordenador sabe que un humano normalmente se comunica con ella haciendo clic y escribiendo.
– Darren Kitchen
Rubber Ducky ha sido el elemento entre los hackers durante más de 10 años (incluso apareció en una escena de Mr. Robot). Ha habido una serie de actualizaciones incrementales desde entonces, pero el Rubber Ducky más nuevo da un salto adelante con un conjunto de nuevas funciones que lo hacen mucho más flexible y potente que antes.
¿Qué puede hacer Rubber Ducky?
Con el enfoque correcto, las posibilidades son prácticamente infinitas.
Las versiones anteriores de Rubber Ducky llevaron a cabo ataques, como crear un cuadro emergente falso de Windows para recopilar las credenciales de inicio de sesión de un usuario o hacer que Chrome enviara todas las contraseñas guardadas al servidor web de un atacante. Sin embargo, estos ataques tenían que diseñarse cuidadosamente para sistemas operativos y versiones de software específicos, y carecían de la flexibilidad para funcionar en todas las plataformas.
El Rubber Ducky más reciente supera las limitaciones anteriores al enviarse con una importante actualización del lenguaje de programación DuckyScript. DuckyScript 3.0 es un lenguaje rico en funciones que permite a los usuarios escribir funciones, almacenar variables y usar controles de flujo lógico. Con esta actualización, los usuarios pueden crear comandos para que Rubber Ducky entre en una máquina de destino.
Este nuevo Rubber Ducky puede ejecutar una prueba para ver si está conectado a una máquina con Windows o Mac. Si lo es, ejecutará el código adecuado a cada uno. Si está conectado al objetivo equivocado, se desactivará solo. También puede generar números pseudoaleatorios. Estos números agregarán un retraso variable entre las pulsaciones de teclas para un efecto más humano.
Quizás lo más impresionante es que puede robar datos de una máquina de destino codificándolos en formato binario y transmitiéndolos a través de las señales destinadas a decirle a un teclado cuándo deben encenderse los LED CapsLock o NumLock. Con este método, un atacante podría enchufarlo durante unos segundos, decirle a alguien: «Lo siento, supongo que la unidad USB está rota» y recuperarlo con todas sus contraseñas guardadas.
¿Hasta qué punto Rubber Ducky es una amenaza?
En una frase: podría ser una gran amenaza, pero la necesidad de acceso a dispositivos físicos significa que la mayoría de las personas no corren el riesgo de ser un objetivo.
Según Kitchen, el nuevo Rubber Ducky fue el producto más solicitado de su empresa en Def Con. Hak5 trajo 500 unidades a la conferencia y se agotaron el primer día. Es seguro decir que muchos cientos de piratas informáticos ya tienen uno y es probable que la demanda continúe por un tiempo.
El producto también tiene una suite de desarrollo online que permite a los usuarios escribir y compilar cargas útiles de ataque, que luego se pueden cargar en el dispositivo. Esto facilita que los usuarios del producto se conecten con una comunidad más amplia y compartan sus creaciones. También hay una sección de «centro de carga útil» del sitio que facilita a los piratas informáticos compartir lo que han creado. Además, Hak5 Discord está activo con conversaciones y consejos útiles.
A un precio de 59.99 dólares por unidad, es demasiado costoso distribuirlo a granel, por lo que es poco probable que alguien deje un puñado de ellos esparcidos en su café favorito a menos que se sepa qué es un lugar frecuentado por objetivos sensibles. Si planea conectar un dispositivo USB que encontró tirado en un lugar público, piénselo dos veces…
