USB Rubber Ducky to urządzenie wielkości pendrive’a, które komputer rozpoznaje jako klawiaturę i automatycznie ufa — bez pytania o sterowniki czy potwierdzenia. Po podłączeniu wpisuje wcześniej zaprogramowane komendy z prędkością 1000 słów na minutę. W pięć sekund może ukraść hasła, zainstalować backdoora lub otworzyć zdalny dostęp do komputera.
Czym jest USB Rubber Ducky i jak wygląda
USB Rubber Ducky to narzędzie do testów penetracyjnych stworzone przez firmę Hak5 w 2010 roku. Wygląda identycznie jak zwykły pendrive — ta sama obudowa, ten sam złącze USB. Wewnątrz zamiast pamięci flash jest mikrokontroler AVR32 i slot na kartę MicroSD, na której przechowywany jest skrypt ataku.
Hak5 sprzedaje Rubber Ducky na swojej stronie za ok. 60–80 USD. Urządzenie stało się ikoną cyberbezpieczeństwa i pojawiło się w serialu Mr. Robot, co znacznie zwiększyło jego popularność poza środowiskiem security.
Jak działa Rubber Ducky — HID i keystroke injection
Sekret tkwi w standardzie HID (Human Interface Device). To protokół USB dla urządzeń wejściowych takich jak klawiatury i myszy. Gdy podłączasz klawiaturę, system operacyjny automatycznie jej ufa bez żadnej weryfikacji — bo klawiatura to „zaufane urządzenie”. Rubber Ducky deklaruje się jako klawiatura i system traktuje je jak fizyczny sprzęt do wpisywania.
Człowiek wpisuje 40–80 słów na minutę. Rubber Ducky osiąga ponad 1000 słów na minutę. W czasie gdy użytkownik mrugnie, urządzenie zdążyło otworzyć terminal, wpisać kilka komend i zamknąć okno — bez widocznego śladu na ekranie.
Atak może wyglądać tak: ofiara zostaje odwrócona uwaga na chwilę, atakujący podchodzi do komputera, podłącza Rubber Ducky, czeka 5 sekund, wyjmuje. Komputer nie zarejestrował nic podejrzanego — widział tylko podłączenie klawiatury.
DuckyScript — jak programuje się Rubber Ducky
Ataki programuje się w DuckyScript — prostym języku skryptowym. Wersja 3.0 (najnowsza) to już pełny język z pętlami, warunkami i zmiennymi. Podstawowe komendy:
STRING tekst— wpisuje tekst jak klawiaturaENTER— wcisnięcie EnterDELAY 500— pauza 500 milisekundWINDOWS r— kombinacja Windows+R (otwiera okno Uruchom)REM komentarz— komentarz, nie wykonywany
Przykładowy payload otwierający PowerShell z uprawnieniami admina i pobierający plik zajmuje dosłownie kilkanaście linii. Tysiące gotowych payloadów dostępnych jest w oficjalnym repozytorium Hak5 na GitHubie.
Co może zrobić Rubber Ducky — typowe ataki
Kradzież haseł — payload otwiera przeglądarkę, eksportuje zapisane hasła do pliku, kopiuje plik na zdalny serwer lub na kartę MicroSD urządzenia. Cały proces w kilkanaście sekund.
Reverse shell — skrypt otwiera połączenie wsteczne z serwerem atakującego, dając mu zdalny dostęp do terminala komputera. Od tego momentu atakujący kontroluje komputer przez internet.
Instalacja oprogramowania — pobranie i cicha instalacja keyloggera, RAT (Remote Access Trojan) lub ransomware. Payload może wyłączyć antywirusa przed instalacją jeśli ma uprawnienia admina.
Exfiltracja plików — znalezienie i skopiowanie plików (dokumenty, klucze SSH, certyfikaty) na zewnętrzny serwer lub bezpośrednio na kartę MicroSD w urządzeniu.
Jak się chronić przed Rubber Ducky
Polityki organizacyjne — najskuteczniejsza ochrona to zakaz podłączania nieznanych urządzeń USB i szkolenia pracowników z bezpieczeństwa fizycznego. Ataki Rubber Ducky wymagają fizycznego dostępu do komputera.
USBGuard (Linux) — narzędzie blokujące podłączanie nieautoryzowanych urządzeń USB. Tylko wcześniej zezwolone urządzenia mogą działać. Dostępne w większości dystrybucji Linuxa.
DuckHunter i UKIP — narzędzia wykrywające charakterystyczne wzorce keystroke injection (np. nienaturalna prędkość wpisywania). Nie są niezawodne, ale stanowią dodatkową warstwę ochrony.
Blokada portów USB w BIOS/UEFI — w środowiskach wysokiego ryzyka można wyłączyć porty USB lub ograniczyć do ładowania. Wymaga kompromisu między bezpieczeństwem a wygodą.
Screen lock — Rubber Ducky działa tylko na odblokowanym komputerze. Nawyk blokowania ekranu przy każdym odejściu od biurka (Windows+L, Cmd+Ctrl+Q na Mac) eliminuje większość scenariuszy ataku fizycznego.
Legalne zastosowania — pentesting i edukacja
Rubber Ducky to legalne narzędzie gdy używasz go za zgodą właściciela systemu. Testerzy penetracyjni używają go do sprawdzania, czy organizacja jest podatna na ataki fizyczne — to element testów red team. Sprzedaż, posiadanie i używanie na własnym sprzęcie jest legalne. Użycie bez zgody to przestępstwo (nieuprawniony dostęp do systemu komputerowego — art. 267 k.k.).
Rubber Ducky jest też popularny w zawodach CTF (Capture the Flag) i środowiskach edukacyjnych jako demonstracja zagrożeń „trusted hardware”.
Źródła
- Payload.pl: USB Rubber Ducky — jak działa i DuckyScript
- CyberAcademy: Czym jest Rubber Ducky USB i dlaczego jest tak niebezpieczny
- Payload.pl: DuckHunter — obrona przed USB Rubber Ducky
Najczęściej zadawane pytania o USB Rubber Ducky
Czy kupno Rubber Ducky jest legalne w Polsce?
Tak, kupno i posiadanie jest legalne. Rubber Ducky jest sprzedawany jako narzędzie do testów penetracyjnych. Nielegalne jest użycie go bez zgody właściciela systemu — to nieuprawniony dostęp do systemu komputerowego (art. 267 Kodeksu karnego), za co grozi do 2 lat pozbawienia wolności.
Czy antywirus wykryje Rubber Ducky?
Antywirus zazwyczaj NIE wykryje samego urządzenia — bo dla systemu to tylko klawiatura. Część antywirusów i systemów EDR może wykryć efekty ataku (np. niecodzienne komendy PowerShell), ale nie samo podłączenie. Ochrona przed Rubber Ducky to głównie polityki organizacyjne, nie oprogramowanie antywirusowe.
Jak szybko działa Rubber Ducky?
Wpisuje ponad 1000 słów na minutę — to ok. 15× szybciej niż bardzo szybki ludzki maszynista. Typowy atak (kradzież haseł z przeglądarki lub instalacja backdoora) zajmuje 5–30 sekund. Przy krótkim odejściu od komputera to wystarczający czas.
Czy Rubber Ducky działa na Macu i Linuxie?
Tak. HID (Human Interface Device) to standard USB działający na wszystkich systemach operacyjnych. Istnieją payloady dla Windows, macOS i Linux. Każdy payload musi być napisany pod konkretny system, bo komendy terminala i skróty klawiszowe różnią się między platformami.
