Na BadUSB podatne jest około 50% urządzeń. Co gorsze, nie wiadomo jak je rozpoznać

Na BadUSB podatne jest około 50% urządzeń. Co gorsze, nie wiadomo jak je rozpoznać13.11.2014 12:05

Udostępnienie exploitado BadUSB, luki pozwalającej przejąć kontrolery urządzeń USB izamienić je w nośniki złośliwego kodu, to ciężki orzech do zgryzieniadla producentów sprzętu. Tej luki po prostu nie ma jak załatać! Terazokazuje się, że BadUSB nie tylko jest nie do załatania, ale też niebardzo wiadomo, które urządzenia są na niego podatne. Jedynymsposobem ustalenia tego jest oglądanie czipów pod lupą.

Wczoraj niemiecki haker Karsten Nohl przedstawiłna konferencji PacSec w Tokio wyniki badań nad stanem bezpieczeństwaurządzeń z USB, jakie prowadził ze swoimi kolegami z Security Research Labs, JakobemLellem i Saszą Krisllerem. Podjęli się ciężkiej pracy –przeanalizowania kontrolerów USB sprzedawanych przez ośmiunajwiększych producentów tego typu elektroniki pod kątem ichpodatności na badUSB. Sprawdzono kontrolery firm Phison, Alcor,Renesas, ASmedia, Genesys Logic, FTDI, Cypress oraz Microchip.

Wyniki wprowadziły badaczy w zakłopotanie. Po pierwsze, okazałosię, że nie ma łatwej metody sprawdzenia, który to kontroler znajdujesię w danym urządzeniu. Jedynym sposobem sprawdzenia tego jestotworzenie pendrive'a czy innego sprzętu i przyjrzenie się napisom naczipie kontrolera. Nazwy handlowe niewiele tu pomogą – częstote same modele wykorzystują różną elektronikę, a fakt ten nie jestnigdzie odnotowany. Mamy do czynienia z prawdziwymi czarnymipudełkami, nikt nie wie co jest w środku. Z badań hakera RichardaHarmana wynika np. że taki Kingston w swoich urządzeniach korzystaprzynajmniej z sześciu różnych dostawców kontrolerów, biorąc czipyakurat od tego, który jest w danym miesiącu tańszy, nawet o kilkacentów. Z tego powodu nie można przygotować listy całkowiciebezpiecznych urządzeń.

Dwa huby USB. Ten sam kontroler. Jedno urządzenie podatne, a drugie nie
Dwa huby USB. Ten sam kontroler. Jedno urządzenie podatne, a drugie nie

Po drugie, z samych testów też nie można wyciągnąć jednoznacznychwniosków. Faktycznie, wszystkie pamięci masowe USB z kontroleremPhisona są podatne na atak, podczas gdy pamięci masowe z kontroleremASmedia są odporne. Jednak już z pamięciami wykorzystującymi czip odGenesysa sytuacja jest bardziej skomplikowana: te z USB 2.0 sąodporne, te z USB 3.0 można zaatakować. W innych kategoriach urządzeńjeszcze mniej wiążących ustaleń: znajdziemy tu tanie myszki „noname” najpewniej odporne na atak i drogie myszki Logitecha,które można przystosować do roznoszenia informatycznej zarazy. Takteż jest z adapterami SATA i SD, klawiaturami czy kamerkamiinternetowymi.

Szczegółowe wyniki testów ludzi z SR Labs znajdziecie na stronieBadUSBExposure, ale prawda jest taka, że uzyskane tam informacjeniewiele dadzą, nawet jeśli zdecydujecie się rozkręcić wszystkieswoje urządzenia. W wielu wypadkach kwestia odporności na BadUSB lubjej braku zależy od drobnych zmian, które akurat uniemożliwiająprzeprogramowanie kontrolera. Według Karstena Nohla jedyną drogą, byzabezpieczyć się w przyszłych generacjach sprzętu z USB, jestsięgnięcie po kryptografię. Robi to już firma Ironkey, oferującakilka modeli pendrive'ów, w których firmware jest podpisane kluczemproducenta – i które akceptuje aktualizacje tylko wtedy, jeślijest ona też podpisana tym kluczem.

Reasumując, należy zakładać, że każde urządzenie USB jest podatnena atak. Sytuacja ta ze względów biznesowych raczej nie ulegniezmianie, przejrzystość tego rynku jest zerowa. Niestety popularne„kondomy” USB nie są też żadnym rozwiązaniem –służą one raczej do ochrony urządzeń mobilnych przed atakiem zestrony ładowarek USB, odcinając połączenia po liniach danych.Paranoikom można polecić więc zlikwidowanie USB w swoich komputerach.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na