Niebezpieczne USB

[KopalniaWiedzy.pl 314]

Niemieccy specjaliści informują o odkryciu luki w USB. Błąd występuje w każdym urządzeniu z tym portem i nie może być obecnie poprawiony.

Do portu USB można podłączyć wiele różnych urządzeń. To jego olbrzymia zaleta, a z drugiej – pięta achillesowa. Kiedy bowiem podłączamy różne urządzenia chip USB musi zostać przeprogramowany. Obecnie nie istnieje żadna ochrona przed tym przeprogramowaniem, a to oznacza, że atakujący może programowo zmienić jedno urządzenie w inne. Teoretycznie możliwa jest np. zmiana podłączonego urządzenia w klawiaturę, która, w imieniu zalogowanego użytkownika, będzie wydawała komputerowi polecenia, takie jak przesłanie plików czy zainstalowanie szkodliwego oprogramowania. Przeprogramowane urządzenie może też np. zmienić konfigurację karty sieciowej i przekierować ruch z komputera. Zmodyfikowany klips USB czy zewnętrzny dysk twardy mogą, wykrywając, że komputer jest właśnie uruchamiany, wgrać wirusa jeszcze zanim wystartuje system operacyjny i uruchomią się zabezpieczenia.

Obecnie nie jest znany żaden sposób ochrony przed takim atakiem. Oprogramowanie antywirusowe nie ma dostępu do firmware'u USB, nie istnieją firewalle USB, które np. blokowałyby urządzeniom konkretnej klasy dostęp do portu. Wykrywanie behawioralne, czyli bazujące na podejrzanym zachowaniu, także nie sprawdzi się w tym przypadku, gdyż przeprogramowane USB wygląda tak, jakby użytkownik podłączył doń inne urządzenie.

Specjaliści ostrzegają, że usunięcie błędu BadUSB po infekcji jest niezwykle trudne. Nawet przeinstalowanie systemu operacyjnego może być nieskuteczne, gdyż infekcji mogło ulec całe oprogramowanie USB na maszynie, w tym oprogramowanie odpowiedzialne za kamerę internetową i inne wbudowane komponenty. Urządzenie BadUSB może być nawet w stanie zastąpić BIOS własną, zarażoną wersją. Innymi słowy, jak mówią odkrywcy luki, jeśli nasz sprzęt został zainfekowany, już nigdy nie będziemy mieli pewności czy jest bezpieczny.

Szczegóły luki oraz prototypowe narzędzia ją wykorzystujące zostaną zaprezentowane 7 sierpnia podczas konferencji BlackHat 2014.

« powrót do artykułu

[Przemek Kobel 65]

Aha. Tylko że użytkownik musiałby być na stałe zalogowany jako "root", do czego zniechęcają wszystkie możliwe poradniki (przynajmniej w systemach uniksowych). W windowsach pojawi się dodatkowe pytanie, czy na pewno coś tam można zrobić, a wcześniej będzie widać wyskakujące czarne okienko i samowpisujące się dziwne polecenia. Na samowgrywającego się podczas bootowania wirusa dość nerwowo powinien zareagować BIOS, którego podmiana też nie jest taka prosta (zarażony pendrive musiałby mieć terabajty pojemności, żeby zastępować każdy rodzaj BIOS-u jego działającą, ale zainfekowaną podróbą). Jedyne co możnaby tą metodą na stałe zainfekować to urządzenia zewnętrzne z programowalnymi chipami USB. Po ich usunięciu z komputera, zwykła reinstalacja z płytki załatwia sprawę.

 

ALE to mógłby być całkiem niezły sposób ataku na konkretny cel (gdzie znany jest rodzaj BIOSu, systemu operacyjnego, używanego sprzętu itp).

[Arlic 4]

Nie musi to być bios płyty głównej.

Edytowane 1 sierpnia 2014 przez wilk
nie cytujemy (w całości) przedmówcy

[thikim 117]

Bios to sobie można zczytać w trakcie ataku i zmodyfikować więc terabajtów nie trzeba.

Roota/admina także nie potrzeba.

[blad201 0]

Widziałem w działaniu taki USB chińskiej produkcji rok temu na seminarium TUV Nord z bezpieczeńśtwa informacji.

Po jego podłączeniu windowsy nic nie informują że jakieś nowe urządzenie się pojawiło - tak jakbyśmy podłączyli klawiaturę USB. Sprzęcik uruchomił Outlooka i sam wysłał maila.

Ratunek jest jeden - nie podłączać do systemu znalezionych USB. Dać je informatykom, niech na odłączonej od sieci stacji testowej go sprawdzą co na nim siedzi, jeśli już musimy to wiedzieć :-)

[w46 1]

Z USB faktycznie jest problem, jednak trzeba mieć na uwadze, że jest dość łatwy do zauważenia. Groźna jest tak naprawdę emulacja klawiatury przez urządzenie usb np pendrive albo smartfona. Emulacja taka, jest widoczna na ekranie. Otwierające się okno konsoli i wpisujący się samoczynnie tekst polecenia dość łatwo zauważyć. Dodatkowym problemem jest różnorodność systemów operacyjnych - w każdym z systemów skróty klawiaturowe się różnią.

 

Dużym ryzykiem jest natomiast uruchamianie systemu z wetkniętym groźnym usb. Takie usb będzie w stanie przekonfigurować bios (symulując klawiaturę), uruchomić system z usb zamiast z domyślnego dysku (symulując klawiaturę i pendrive).

 

Wystarczy nie uruchamiać komputera z urządzeniem usb nieznanego pochodzenia do którego nie mamy 100% zaufania.

Groźne może być dowolne urządzenie, nawet lampka, podgrzewacz kubka czy kamerka.

Zablokowac uruchamianie systemu z usb

Założyć hasło na bios.

Pracować na użytkowniku o ograniczonych uprawnieniach.

Nie podłączać urządzeń usb, które nie są w 100% zaufane.

W przypadku konieczności podłączenia niezaufanego urządzenia obserwować ekran, w przypadku podejrzanego zachowania (wyskakujących okien) jest ryzyko zarażenia systemu i należy traktować od tego momentu komputer jako potencjalnie zarażony i niebezpieczny.

Podłączać niezaufane USB tylko na moment gdy jest to niezbędne i konieczne, po użyciu odłączyć fizycznie.

Edytowane 5 sierpnia 2014 przez w46

[pogo 102]

No i w ten sposób masz względne zabezpieczenie przed emulacją klawiatury, a to pewnie tylko wierzchołek góry lodowej możliwości...

[Przemek Kobel 65]

Co do BIOS-ów - mam wrażenie, że na etapie bootowania przez USB do maszynki nie można wstawić własnego BIOS-a (w końcu to nie jest karta wideo z przydzieloną przestrzenią adresową itd). To musi się odbyć na poziomie emulacji klawiatury i pamięci masowej. I teraz - co jeśli do BIOS-u wchodzi się nie przez F10, tylko stary 'del'? Albo F8? A jeśli po F12 nie wyskakuje okno zmiany kolejności bootowania, tylko coś innego? A co, jeśli zamiast strzałek do wyboru napędu startowego używa się F5/F6... i można tak w nieskończoność.

 

W samym systemie jeśli ktoś będzie próbował dokonać poważniejszych zmian w plikach systemowych czy na dysku, to oczywiście zobaczy ostrzeżenie, i żaden mail mu się nie wyśle, jesli nie używa Outlooka (:

Żart, ale nadal myślę, że to wynalazek do bardzo konkretnych zastosowań.

[Astroboy 34]

Dobry żart tynfa wart, ale obawiam się, że nie jest potrzebny "root".