De bekende hacker Samy Kamkar heeft een nieuwe hacktool ontwikkeld waarmee het mogelijk is om http-cookies van een vergrendelde computer te stelen.Kamkar noemt zijn nieuwste creatie PoisonTap. Het is een Raspberry Pi Zero die een usb-ethernet-apparaat emuleert.
Wanneer PoisonTap wordt aangesloten kan het alle http-cookies van de miljoen populairste websites op internet stelen en opslaan. Ook stelt het de interne router aan de aanvaller bloot en kan die op afstand toegankelijk maken. Verder kan het apparaatje voor honderdduizenden domeinen en content delivery netwerken een web-gebaseerde backdoor in de http-cache installeren. Daarnaast kan een aanvaller via PoisonTap de gebruiker op afstand http-requests laten maken en de antwoorden daarop met de cookies van de gebruiker terugsturen. Zelfs als het apparaat is verwijderd blijven de backdoors en toegang op afstand beschikbaar.
Kamkar merkt op dat het aansluiten van een tweede netwerkapparaat aan de computer normaliter irrelevant zou zijn, aangezien dit apparaat een lagere prioriteit krijgt. LAN-verkeer heeft echter een hogere prioriteit dan internetverkeer waardoor routeringstabellen, gateway prioriteit en volgorde van netwerkinterfaces wordt omzeild. PoisonTap maakt hier misbruik van met als eindresultaat dat al het internetverkeer via het usb-apparaatje loopt, ook al is de machine met een ander netwerkapparaat verbonden.
Zolang op de vergrendelde computer de browser in de achtergrond draait zal die waarschijnlijk pagina's openen en http-requests versturen. PoisonTap spooft in real-time de dns, zodat alle http-requests naar de PoisonTap-webserver gaan. Vervolgens is het mogelijk om verzoeken naar andere websites te genereren die de computer zal opvragen en de bijbehorende http-cookies te onderscheppen.
Om de aanval te voorkomen adviseert Kamkar dat eigenaren van een webserver alleen maar https gebruiken, alsmede HSTS en de Secure flag-optie voor cookies instellen. Eindgebruikers kunnen hun usb-poorten dicht maken, de browser sluiten als ze de computer vergrendelen, de usb-poorten uitschakelen of de computer in een versleutelde slaapmodus zetten.
Bron: Security.nl