r   e   k   l   a   m   a
r   e   k   l   a   m   a

BadUSB na wolności: zobacz sam, jak łatwo zamienić zwykły pendrive w nośnik złośliwego kodu

Strona główna AktualnościOPROGRAMOWANIE

W lipcu tego roku berlińscy hakerzy z Security Research Labs zademonstrowali błąd w kontrolerach USB, który może zostać wykorzystany przez potencjalnych napastników do przeprowadzenia najróżniejszych ataków przeciwko użytkownikom wykorzystujących je urządzeń. Błąd o tyle poważny, że nie nikt nie potrafił powiedzieć, jak należałoby się przed nim zabezpieczyć. Z tego też powodu jego odkrywcy uznali, że swoją wiedzę o podatności nazwanej BadUSB przynajmniej na razie zachowają dla siebie. Tajemnice w tej branży nie mają jednak zbyt długiego życia. Lukę ponownie odkryli inni badacze, którzy takich skrupułów nie mieli. Kod exploitujący BadUSB jest już do pobrania z GitHuba.

Wiele wskazuje na to, że tę metodę ataku hakerzy spod znaku czarnego kapelusza czy funkcjonariusze niektórych agencji wywiadowczych znają już od dawna, więc udostępnienia przez Adama Caudilla i Brandona Wilsona podczas tegorocznego Derbycon kodu wykorzystanego do ataku na kontrolery USB nie można uznać za działanie nieodpowiedzialne. Już rok temu rumuński badacz Dragos Ruiu wzbudził sensację w branży bezpieczeństwa, opowiadając o szkodniku, który zakaził jego laboratorium antywirusowe, dobierając się nawet do maszyn, które były odcięte od Sieci. Ruiu twierdził, że odkryty przez niego robak wykorzystywał jako swój główny wektor infekcji nośniki USB. Błąd przepełnienia bufora podczas odczytu pozwalać miał na przeprogramowanie kontrolera tak, by zmodyfikować zawartość BIOS komputera, a następnie pobrać odpowiedni ładunek ze złośliwym kodem.

Przedstawiony przez Karstena Noehla i jego kolegów z Security Research Labs atak BadUSB pozwalał najwyraźniej właśnie na coś takiego. Według niemieckich hakerów możliwe jest przeprogramowanie firmware kontrolera USB tak, by uczynić z podłączanego urządzenia nośnik cyfrowej zarazy, niemal niemożliwej do wykrycia. Elastyczność urządzeń korzystających z tego standardowego dziś interfejsu można uzłośliwić do swoich celów: mogą one ogłaszać się jako należące do zupełnie innej klasy, niż są w rzeczywistości. Np. zwykły pendrive może twierdzić, że jest kontrolerem sieciowym, na który należy przekierować całą komunikację hosta, może też udawać klawiaturę, przekazującą całe sekwencje komend do przejęcia kontroli na komputerem. Co więcej, w ten sposób można przeprogramować firmware innych podłączonych do USB urządzeń.

r   e   k   l   a   m   a

Programy antywirusowe można sobie… zainstalować. Na tym ich przydatność w obliczu badUSB się kończyła. Dostępne na rynku skanery malware nie są w stanie sprawdzić firmware kontrolerów USB. W praktyce jedynym zabezpieczeniem byłoby wyłączenie wszystkich portów USB i korzystanie wyłącznie z urządzeń komunikujących się po innych interfejsach, np. Firewire, Thunderbolt czy stare dobre PS/2 dla klawiatur i myszek. Noehl sugerował, że można by było przygotować kontrolery USB, które akceptowałyby wyłącznie określoną klasę urządzeń, np. tylko pamięci masowe – ale nie jest jasne, jak można byłoby to zrealizować z istniejącym dziś sprzętem.

Szczegółowe informacje trafiły do USB Implementers Forum, ale nie wydaje się, by mogły one w czymś pomóc. Konieczność zachowania wstecznej kompatybilności jest dla producentów sprzętu sprawą większej wagi, niż zabezpieczenie się przed wyrafinowanym cyberatakiem, znanym tylko hakerskiej elicie. Być może gdyby był on powszechnie znany, sytuacja wyglądałaby inaczej…

Cauldill i Wilson pokazują nam, jak można przeprogramować firmware popularnego kontrolera Phison, tak by po podłączeniu udawał on klawiaturę wprowadzającą ciągi znaków zgodne z programem przygotowanym przez napastnika – w praktyce pozwalając na wykonanie dowolnego kodu z uprawnieniami zalogowanego użytkownika. Taki przeprogramowany kontroler może znaleźć się w drukarce, myszce, pendrive, smartfonie – w praktyce dowolnym urządzeniu, które korzysta z popularnego czipu Phisona. Amerykańscy odkrywcy podkreślają, że też nie wiedzą, co z tym zrobić. Komputer musiałby sprawdzać poprawność firmware podłączonego do niego urządzenia, co w praktyce oznacza, że musiałaby powstać globalna baza sygnatur oprogramowania, do której każdy producent urządzeń z interfejsem USB zgłaszałby swoje produkty. Mało to realistyczne w sytuacji, gdy producenci niezliczonych urządzeń z Chin i innych azjatyckich krajów do dziś zupełnie nie przejmują się kwestiami oficjalnych identyfikatorów VID i PID, wymaganych przez USB Implementers Forum. W końcu kupujący to co najtańsze użytkownicy też się nie przejmują kwestią certyfikatów zgodności.

Dostępne na GitHubie exploity działają wyłącznie na urządzeniach z kontrolerem Phison. Znaleźliśmy w redakcji kompatybilny pendrive, instalując na nim złośliwe firmware za pomocą narzędzia DriveCom, a następnie testując ładunek HID, zgodnie z instrukcją. Bez większych problemów udało się nam uzyskać złośliwy pendrive, przenoszący rozmaite „bomby logiczne”. Nie są to tylko ataki wymierzone w Windows, bez większych trudności można przygotować taki atak działający na OS X czy Linuksie.

Jeśli zależy więc nam na całkowitym bezpieczeństwie naszego localhosta, najrozsądniej będzie poszukać starej klawiatury i myszki ze złączem PS/2, a następnie zakleić wszystkie porty USB.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.