BadUSB na wolności: zobacz sam, jak łatwo zamienić zwykły pendrive w nośnik złośliwego kodu

BadUSB na wolności: zobacz sam, jak łatwo zamienić zwykły pendrive w nośnik złośliwego kodu05.10.2014 22:04

W lipcu tego roku berlińscy hakerzy z Security Research Labszademonstrowali błąd w kontrolerach USB, który może zostaćwykorzystany przez potencjalnych napastników do przeprowadzenianajróżniejszych ataków przeciwko użytkownikom wykorzystującychje urządzeń. Błąd o tyle poważny, że nie nikt nie potrafiłpowiedzieć, jak należałoby się przed nim zabezpieczyć. Z tegoteż powodu jego odkrywcy uznali, że swoją wiedzę o podatnościnazwanej BadUSB przynajmniej na razie zachowają dla siebie.Tajemnice w tej branży nie mają jednak zbyt długiego życia. Lukęponownie odkryli inni badacze, którzy takich skrupułów nie mieli.Kod exploitujący BadUSB jest już do pobrania z GitHuba.

Wiele wskazuje na to, że tę metodę ataku hakerzy spod znakuczarnego kapelusza czy funkcjonariusze niektórych agencji wywiadowczych znająjuż od dawna, więc udostępnienia przez Adama Caudilla i BrandonaWilsona podczas tegorocznego Derbycon kodu wykorzystanego do ataku nakontrolery USB nie można uznać za działanie nieodpowiedzialne. Jużrok temu rumuński badacz Dragos Ruiu wzbudziłsensację w branży bezpieczeństwa, opowiadając o szkodniku,który zakaził jego laboratorium antywirusowe, dobierając sięnawet do maszyn, które były odcięte od Sieci. Ruiu twierdził, żeodkryty przez niego robak wykorzystywał jako swój główny wektorinfekcji nośniki USB. Błąd przepełnienia bufora podczas odczytupozwalać miał na przeprogramowanie kontrolera tak, by zmodyfikowaćzawartość BIOS komputera, a następnie pobrać odpowiedni ładunekze złośliwym kodem.

Przedstawiony przez Karstena Noehla i jego kolegów z SecurityResearch Labs atak BadUSB pozwalał najwyraźniej właśnie na cośtakiego. Według niemieckich hakerów możliwe jest przeprogramowaniefirmware kontrolera USB tak, by uczynić z podłączanego urządzenianośnik cyfrowej zarazy, niemal niemożliwej do wykrycia.Elastyczność urządzeń korzystających z tego standardowego dziśinterfejsu można uzłośliwić do swoich celów: mogą one ogłaszaćsię jako należące do zupełnie innej klasy, niż są wrzeczywistości. Np. zwykły pendrive może twierdzić, że jestkontrolerem sieciowym, na który należy przekierować całąkomunikację hosta, może też udawać klawiaturę, przekazującącałe sekwencje komend do przejęcia kontroli na komputerem. Cowięcej, w ten sposób można przeprogramować firmware innychpodłączonych do USB urządzeń.

Programy antywirusowe można sobie… zainstalować. Na tym ichprzydatność w obliczu badUSB się kończyła. Dostępne na rynkuskanery malware nie są w stanie sprawdzić firmware kontrolerówUSB. W praktyce jedynym zabezpieczeniem byłoby wyłączeniewszystkich portów USB i korzystanie wyłącznie z urządzeńkomunikujących się po innych interfejsach, np. Firewire,Thunderbolt czy stare dobre PS/2 dla klawiatur i myszek. Noehlsugerował, że można by było przygotować kontrolery USB, któreakceptowałyby wyłącznie określoną klasę urządzeń, np. tylkopamięci masowe – ale nie jest jasne, jak można byłoby tozrealizować z istniejącym dziś sprzętem.

Szczegółowe informacje trafiły do USB Implementers Forum, alenie wydaje się, by mogły one w czymś pomóc. Koniecznośćzachowania wstecznej kompatybilności jest dla producentów sprzętusprawą większej wagi, niż zabezpieczenie się przed wyrafinowanymcyberatakiem, znanym tylko hakerskiej elicie. Być może gdyby byłon powszechnie znany, sytuacja wyglądałaby inaczej…

Cauldill i Wilson pokazują nam, jak można przeprogramowaćfirmware popularnego kontrolera Phison, tak by po podłączeniuudawał on klawiaturę wprowadzającą ciągi znaków zgodne zprogramem przygotowanym przez napastnika – w praktyce pozwalającna wykonanie dowolnego kodu z uprawnieniami zalogowanego użytkownika.Taki przeprogramowany kontroler może znaleźć się w drukarce,myszce, pendrive, smartfonie – w praktyce dowolnym urządzeniu,które korzysta z popularnego czipu Phisona. Amerykańscy odkrywcypodkreślają, że też nie wiedzą, co z tym zrobić. Komputermusiałby sprawdzać poprawność firmware podłączonego do niegourządzenia, co w praktyce oznacza, że musiałaby powstać globalnabaza sygnatur oprogramowania, do której każdy producent urządzeńz interfejsem USB zgłaszałby swoje produkty. Mało to realistycznew sytuacji, gdy producenci niezliczonych urządzeń z Chin i innychazjatyckich krajów do dziś zupełnie nie przejmują się kwestiamioficjalnychidentyfikatorów VID i PID, wymaganych przez USB ImplementersForum. W końcu kupujący to co najtańsze użytkownicy też się nieprzejmują kwestią certyfikatów zgodności.

Dostępne na GitHubie exploity działają wyłącznie naurządzeniach z kontrolerem Phison. Znaleźliśmy w redakcjikompatybilny pendrive, instalując na nim złośliwe firmware zapomocą narzędzia DriveCom, a następnie testując ładunek HID,zgodnie z instrukcją.Bez większych problemów udało się nam uzyskać złośliwypendrive, przenoszący rozmaite „bombylogiczne”. Nie są to tylko ataki wymierzone w Windows, bezwiększych trudności można przygotować taki atak działający naOS X czy Linuksie.

Jeśli zależy więc nam na całkowitym bezpieczeństwie naszegolocalhosta, najrozsądniejbędzie poszukać starej klawiatury i myszki ze złączem PS/2, anastępnie zakleić wszystkie porty USB.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na