Pozor na USB kľúče, zmenený firmvér môže automaticky infikovať PC

Značky: USBbezpečnosťhackovanie

DSL.sk, 1.8.2014

Tím bezpečnostných expertov zo spoločnosti SRLabs pod vedením známeho Karstena Nohla úspešne vyvinul a budúci týždeň bude na konferencii Black Hat prezentovať nový typ škodlivého kódu inštalovaného do firmvéru USB zariadení, napríklad aj prázdneho USB kľúča, a následne infikujúceho PC.

Nohl stál v minulosti za projektom dostupného prelomenia a dešifrovania algoritmu A5/1 umožňujúceho odpočúvať hlasové hovory v 2G GSM sieti a v minulom roku zase odhalil masovú zraniteľnosť v SIM kartách mobilných operátorov.

Tentokrát Nohl poukazuje na bezpečnostné riziko, ktoré predstavujú USB zariadenia. Štandard a protokol USB, ktorý vznikol pred už takmer dvadsiatimi rokmi, nemá zabudované žiadny ochrany a obmedzenia práv pripájaných zariadení a tie môžu po pripojení k PC viacerými kreatívnymi spôsobmi PC infikovať.

Škodlivý kód a útok vyvinutý Nohlom označený BadUSB je pritom nenákladný, keď nevyžaduje vytvorenie nového USB hardvéru ale umožňuje využiť štandardné bežne dostupné USB flash kľúče preprogramovaním ich firmvéru.

Nohl bude na hackerskej bezpečnostnej konferencii Black Hat demonštrovať preprogramový USB kľúč, ktorý sa po pripojení k PC tvári zároveň aj ako USB klávesnica, spustí príkazový riadok, v ňom stiahne z Internetu škodlivý kód, spustí ho a infikuje PC. Škodlivý kód môže následne samozrejme infikovať ďalšie USB kľúče a šíriť sa ako vírus.

V druhej demonštrácii sa bude USB kľúč tváriť ako sieťová karta a na PC spôsobí prestavenie DNS servera na server útočníkov. Ten pre domény navštevované užívateľom poskytuje IP adresy pod kontrolou útočníkov, na ktorých môžu byť prevádzkované falošné phishingové stránky.

V tretej demonštrácii infikovaný firmvér po zapojení do PC infikuje inštalačný súbor Ubuntu umiestnený na kľúči a použitý na bootovanie.

Okrem toho bude Nohl demonštrovať infikovanie PC aj pomocou pripojeného Android smartfónu, ktorý sa bude tváriť ako sieťová karta.

U akých všetkých USB kľúčov je možné efektívne takto infikovať firmvér a či je podobným efektívnym spôsobom možné infikovať aj iné typy USB zariadení nie je zatiaľ jasné, detaily Nohl zverejní na Black Hat. Kľúče použité pri demonštrácii majú riadiaci čip od Phison Electronics.

Proti BadUSB v súčasnosti pritom neexistujú efektívne ochrany. Škodlivý kód sa nenachádza uložený v úložnej kapacite kľúča, nie je ho preto možné detekovať antivírusovým skenom kľúča ani odstrániť naformátovaním. Okrem toho, že antivírusy nemajú prístup k firmvéru USB zariadení a nekontrolujú ho, zároveň ak by tento prístup mali, už infikovaný firmvér môže infekciu maskovať.

Nohl plánuje na Black Hat ale navrhnúť ako by bolo možné efektívne ochrany implementovať.




Najnovšie články:



Diskusia:

offtopic Od: kekeket | Pridané: 1.8.2014 10:15 pozrite si sk-nic.sk a dajte CTRL + U, zistite ze nas SK NIC sa hanbi za svoj kokotny html kod tak ho radsej skryli o 137 riadkov nizsie :D Odpovedať Známka: 7.4 Hodnotiť:

Re: offtopic Od: Hroch_asdf | Pridané: 1.8.2014 10:34 Su prazdniny a prsi. Az tak sa nudis, ze chodis pozerat HTML kod neaktualnych webstranok? :D Odpovedať Známka: 4.3 Hodnotiť:

Re: offtopic Od: karolkooooo | Pridané: 1.8.2014 15:52 Ja by som sa za taku stranku hanbil, oni tam este uvedu autorov :D Cyril Franko, Robert Zilka, Juraj Mikula a Zdeno Benus zaspali na vavrinoch Odpovedať Známka: 7.3 Hodnotiť:

Re: offtopic Od: kotko | Pridané: 2.8.2014 19:26 Javi sa mi to ako ukazkovy kod. (z pedagogickych dovodov) Odpovedať Známka: 6.7 Hodnotiť:

Re: offtopic Od reg.: pocitujlasku | Pridané: 1.8.2014 10:46 to je ochrana, aby nikto neskopiroval ich zdrojovy kod :) Odpovedať Známka: 9.2 Hodnotiť:

Re: offtopic Od: 4325g42f | Pridané: 1.8.2014 12:12 takzvana pozicna obfuskacia :-) Odpovedať Známka: 8.0 Hodnotiť:

Re: offtopic Od: 34fwfewqfe | Pridané: 1.8.2014 13:53 analna obfuskacia - zasit spagetovy kod dakam do riti :-) Odpovedať Známka: 2.5 Hodnotiť:

Re: offtopic Od: quix_ | Pridané: 1.8.2014 16:03 aktualizacia: uz len 82riadkov Odpovedať Známka: 6.7 Hodnotiť:

zcObyisfFPXpZB Od: crorkz | Pridané: 4.8.2014 7:50 gNZL55 Enjoyed every bit of your post.Thanks Again. Really Cool. Odpovedať Hodnotiť:

kluč1 Od: kluč | Pridané: 1.8.2014 10:16 .....posielam usb kluč Odpovedať Známka: 2.3 Hodnotiť:

Re: kluč1 Od: jjjjjjjjjj | Pridané: 1.8.2014 10:46 radši pošli Wokna už do kytek, je to největší hrozba v historii. tento problém je chybou v designu Windows Microsoft bude vždy hrozba pro bezpečnost všech Odpovedať Známka: -1.3 Hodnotiť:

Re: kluč1 Od: af43 | Pridané: 1.8.2014 10:53 myslim ze tu na OS nezalezi a je dost mozne ze to bude demonstrovat na linuxe. Nechame sa prekvapit Odpovedať Známka: -1.7 Hodnotiť:

Re: kluč1 Od: jjjjjjjjjj | Pridané: 1.8.2014 11:48 jaktože nezáleží? :-O to je joke, že? :) Odpovedať Známka: -4.1 Hodnotiť:

Re: kluč1 Od reg.: K-NinetyNine | Pridané: 1.8.2014 14:41 pretoze chyba sa tyka USB a nie OS. tak isto ako nezalezi na OS, nezalezi na tom, akym autom tam pride, na akej stlicke bude sediet alebo aku kravatu si v ten den zoberie a ci vobec nejaku. Odpovedať Známka: 5.0 Hodnotiť:

Re: kluč1 Od: knjiCdo | Pridané: 1.8.2014 11:04 jj máš pravdu, vidno, že si čítal celý článok s pochopením! hlavne túto časť V tretej demonštrácii infikovaný firmvér po zapojení do PC infikuje inštalačný súbor Ubuntu umiestnený na kľúči a použitý na bootovanie. Hmm tak to MS dosť dodrbali keď majú takú designovú chybu, že siaha až po bootovania z BIOSu a zrejme stále aj v UEFI. Odpovedať Známka: 6.2 Hodnotiť:

Re: kluč1 Od: jjjjjjjjjj | Pridané: 1.8.2014 11:49 a kdo myslíš, že omezuje vývoj BIOSů? Microsoft stojí za zastaralostí a nebezpečí 20 let starých designů BIOSu/UEFI Odpovedať Známka: -3.3 Hodnotiť:

Re: kluč1 Od: milan.ko | Pridané: 1.8.2014 13:56 Ty si megatroll, neodpovedajte mu. Odpovedať Známka: -2.5 Hodnotiť:

Re: kluč1 Od: karolkooooo | Pridané: 1.8.2014 15:56 tak odpoviem tebe - v cechach uz travu ani ine drogy moc neriesia.. keby si mal v sebe tiez tolko drog co Cech, tiez by si po precitani clanku nadobudol dojem, ze windows moze za firmware na USB klucoch ;) Odpovedať Známka: 3.3 Hodnotiť:

Re: kluč1 Od: quix_ | Pridané: 1.8.2014 16:11 je jedno ci je tam ubuntu alebo windows, pouzitim tohoto utoku moze okrem ineho modifikovat subory na kluci a moze to byt kludne instalator alebo hocico ine. ten clanok je velmi velmi strasidelny. nikoho uz asi k pc nepustim a zabalim si hlavu do folie :O Odpovedať Známka: 8.7 Hodnotiť:

Re: kluč1 Od: -...- | Pridané: 1.8.2014 11:58 Az na to, ze v clanku je jasne napisane, ze chyba je v samotnom protokole usb a nie woknach. Odpovedať Známka: 6.2 Hodnotiť:

Re: kluč1 Od: heeeeh | Pridané: 5.8.2014 19:45 TAK PORUSIME PROTOKOL, PREDSA MALE FOOPAA NEMOZE NIKOMU USKODIT ;) Odpovedať Hodnotiť:

dqweqw Od: dgwe4rwq | Pridané: 1.8.2014 10:26 Phishing Electronic :) Odpovedať Známka: 8.6 Hodnotiť:

Re: dqweqw Od: hmm. | Pridané: 1.8.2014 10:47 Nieco na tom bude. Odpovedať Známka: 7.5 Hodnotiť:

USB standard Od: hmm. | Pridané: 1.8.2014 10:51 USB v1, USB v2, USB v3 a ziadna verzia USB standardu stale nepodporuje ziadnu prevenciu voci takemuto zneuzitiu? Niekedy si hovorim ze je smiesne ako sa ludia nastvali na NSA ze spehuje cely svet a pritom si do PC vlozia s uplnou doverou neznamy USB kluc kde mozu mat trojana a ani o tom nemusia vediet... Odpovedať Známka: 4.1 Hodnotiť:

Re: USB standard Od: Turbo-man | Pridané: 1.8.2014 11:01 a? kazdy ma v pc aspon jedneho-dvoch trojanov alebo je aspon pripojeny na nejaky botnet (linux mal botnet dokonca v jadre os). jeden navyse ta nezabije... Odpovedať Známka: -4.8 Hodnotiť:

Re: USB standard Od: trekronor | Pridané: 4.8.2014 10:04 Čistý výmysel. Čo hulíš? Odpovedať Hodnotiť:

Re: USB standard Od: Haniak. | Pridané: 1.8.2014 11:03 No hej... Preto ho mladým treba otrepať o hlavu. Žiadne iné médium nechcú používať. Pritom sú CD/DVD/BluRay nosiče sú ideálne a bacile sa tam neuplatnia. Do ROM médií(lisovaných) sa určite nič nedostane. A aj preto sa bude softvér naveky distribuovať na týchto typoch nosičov. Odpovedať Známka: -2.6 Hodnotiť:

Re: USB standard Od: stoneage | Pridané: 1.8.2014 11:08 existuju aj flashky s HW write-protect switchom Odpovedať Známka: -8.2 Hodnotiť:

Re: USB standard Od reg.: Born To Be Wild | Pridané: 1.8.2014 11:27 No, lenže ochráni ten mikro prepínač aj FW či zabraňuje iba zápisu do pamäte? Myslím že nie... Odpovedať Známka: 8.6 Hodnotiť:

Re: USB standard Od: Haniak. | Pridané: 3.8.2014 22:21 Matelko. Pri SD kartách je to iba neelektrická páčka, bez funkcie. Pri starých USB kľúčoch bol ten prepínačík naozaj aj fyzicky zapojený a bránil akémukoľvek zápisu. Fyzicky. Neviem prečo také USB kľúčiky prestali vyrábať... Odpovedať Známka: 3.3 Hodnotiť:

Re: USB standard Od: hmmmmmmm | Pridané: 5.8.2014 19:46 PRESNE Odpovedať Hodnotiť:

Re: USB standard Od: Houston | Pridané: 8.8.2014 23:11 Fyzicky moze branit comukolvek, dnes sa to ale firmwaru kluca netyka. Ak ti firmware podhodi falosny obsah suboru, mozes mat aj 20 prepinacov a nepomozu vam obom. Jasne? Okrem toho - Ak stav toho prepinaca cita firmware (a som si isty ze ano) a je infikovany, moze ho kludne ignorovat. Odpovedať Hodnotiť:

Re: USB standard Od: The Jetsons | Pridané: 1.8.2014 11:17 by si sa divil... ked boli cd mrte rozsirene, tak sa veselo nimi sirili virusy... ale ty si nemozes pamatat, co sa dialo pred 15 rokmi, maniak... Odpovedať Známka: 7.4 Hodnotiť:

Re: USB standard Od: Haniak. | Pridané: 4.8.2014 16:35 Pred 15-timi rokmi si chodil akurát tak na šerbel. A ten maniak, či čo to spletáš, v čom si maniak? Vo vedomostiach zrejme nie. A prezraď nám plnoletým, aký vírus a z akého oficiálneho CD/DVD ROM nosiča si si "rozšíril" do počítač?? To som zvedavý čo vypotíš! Odpovedať Hodnotiť:

Re: USB standard Od: Ritiak | Pridané: 6.9.2014 14:05 ale jo, virusy na cd dvd ano, ked si napalil nejaky spustitelny program uz infikovany, co sa mi stalo na originalnom cd freesoft volakedy. Odpovedať Hodnotiť:

Re: USB standard Od reg.: Born To Be Wild | Pridané: 1.8.2014 11:21 DTD - Data Trezor Disk. Tie stoja za pozornosť ich odolnosťou. Odpovedať Známka: 7.5 Hodnotiť:

Re: USB standard Od: karolkooooo | Pridané: 1.8.2014 16:03 ty porovnavas USB kluce, ktore uz su aj 1TB s DVD, ktore ma 4.7GB? :D hybaj si tam podat ruku so sknic :D Odpovedať Známka: -4.0 Hodnotiť:

Re: USB standard Od: Haniak. | Pridané: 4.8.2014 16:37 Vysrať sa na pomalé a nespoľahlivé USB, ktoré pri 1TB bude stáť celý majetok... Tu sa píše o spoľahlivých a nezavíriteľných nosičoch. Načo tu zapletáš kapacitu? Odpovedať Hodnotiť:

Re: USB standard Od: knjiCdo | Pridané: 1.8.2014 11:07 ne ne, ja nemám žiadny vírus. Ani antivírus nemusím používať a už mi nič nehlásilo niekoľko rokov čo používam IE 5. [Joke] Odpovedať Známka: -2.0 Hodnotiť:

Re: USB standard Od: 356t34g532 | Pridané: 1.8.2014 12:11 chlapi by si mali vziat priklad zo zien. tie si tiez davaju pozor, co si kam vlozia. :-) Odpovedať Známka: 8.0 Hodnotiť:

Re: USB standard Od: klávesnice | Pridané: 1.8.2014 12:24 Pistik môj, keby bolo na svete aspoň polovica takých inteligentných ľudí ako chodia sem tak by byznis pre PC-krepáňov čo potrebujú platený AV fungoval na svete úplne ináč. A to sa týka hádam všetkého okolo nás. Odpovedať Známka: 6.7 Hodnotiť:

Re: USB standard Od: najjatyty | Pridané: 2.8.2014 1:42 toto si velmi pekne napisal "keby bolo na svete aspoň polovica takých inteligentných ľudí ako chodia sem" Odpovedať Známka: 6.0 Hodnotiť:

Re: USB standard Od reg.: pocitujlasku | Pridané: 1.8.2014 12:58 nenazval by som to zneuzitie, je to nieco podobne, ako tie gprs dongle. pripojis a mas modem+cdrom s ovladacmi. proste viac veci na jednom usb-cku. Alebo usb prijimac ku klavesnici/mysi.... Osetrit to, je dost narocne, az nemozne. Jedine, ak by sa dali obmedzenia, ktore zariadenia mozu byt na jednom usb dongle, alebo jedno usb =jedno zariadenie co by bol velky krok dozadu. Odpovedať Známka: 5.0 Hodnotiť:

Re: USB standard Od: rrrrrrrrrrr | Pridané: 1.8.2014 13:56 pan sudca, ale zalobkyna aktivne hybala panvou, takze nemohlo ist o zneuzitie... :-) Odpovedať Známka: 6.4 Hodnotiť:

konecne Od reg.: sknitro | Pridané: 1.8.2014 15:58 Konecne teraz budu aspon rozdavat infikovane USB...takze kazdy uzivatel zapojený do Botnetu bude mat aspon pamiatkový predmet :D Odpovedať Známka: 8.3 Hodnotiť:

microSD Od: fgnfnfvfb | Pridané: 1.8.2014 21:35 Tak uz viem preco moja 64GB microSD karta z Ciny ma realnu kapacitu 7.5GB. Asi mi tam dali velke prekvapenie :D Odpovedať Známka: 6.7 Hodnotiť:

prepacte Od: hmmmmmmm | Pridané: 2.8.2014 5:24 Pochopil som spravne, ze sa to da zneuzit iba vtedy ak sa hacknute USB tvari ako klavesnica, to zanmaena ze riesenie je obmedzit USB driver aby akceptoval iba mys a pamatovy kluc?? Co je drtiva vacsina zariadeni pripajana cez USB... Odpovedať Známka: -6.0 Hodnotiť:

Re: prepacte Od: dando111111 | Pridané: 2.8.2014 8:52 nepochopil Odpovedať Známka: 6.0 Hodnotiť:

Re: prepacte Od: heeeeh | Pridané: 2.8.2014 16:50 POCHOPIL. Odpovedať Známka: -6.0 Hodnotiť:

Re: prepacte Od: kotko | Pridané: 2.8.2014 19:07 skoro Odpovedať Známka: 3.3 Hodnotiť:

Re: prepacte Od: pondfelokleje | Pridané: 4.8.2014 10:11 Mozno by pomohlo, keby sa po vsunutí USB zariadenia systém užívateľa opýtal, či TO, ako bolo USB detekované systémom je naozaj TO, čo si o zariadení myslí užívateľ. Ale to by bol tiež krok dozadu, lebo verím tomu, že kopa užívateľov o USB zariadení vie len to, akej je farby. Navyše muži to ani s tou farbou vždy netrafia. Odpovedať Hodnotiť:

dont wory Od: piere brike | Pridané: 3.8.2014 8:57 Nohl sa obohati na zbastleni niejakej ochrany a vsetci budu opet stastni...az kym nepomru o) Odpovedať Hodnotiť:

Pridať komentár